• Os funcionários da Intelbras estão sujeitos a práticas de comércio seguro e confidencialidade de dados sob os termos dos procedimentos de trabalho da companhia.
• É imperativo que as regras a seguir sejam observadas para assegurar que as provisões estatutárias relacionadas a serviços (sejam eles serviços internos ou administração e manutenção remotas) sejam estritamente seguidas. Isso preserva os interesses do cliente e oferece proteção pessoal adicional.

• Assegurar que apenas pessoas autorizadas tenham acesso aos dados de clientes.
• Usar as facilidades de atribuição de senhas, sem permitir qualquer exceção. Jamais informar senhas para pessoas não autorizadas.
• Assegurar que nenhuma pessoa não autorizada tenha como processar (armazenar, alterar, transmitir, desabilitar ou apagar) ou usar dados de clientes.
• Evitar que pessoas não autorizadas tenham acesso aos meios de dados, por exemplo, discos de backup ou impressões de protocolos.
• Assegurar que os meios de dados que não são mais necessários sejam completamente destruídos e que documentos não sejam armazenados ou deixados em locais geralmente acessíveis.
• O trabalho em conjunto com o cliente gera confiança.
• Este produto não realiza qualquer tratamento de dados pessoais

Este guia do usuário fornece as seguintes informações:

• Como se conectar à interface de rede pela primeira vez.
• Exploração da interface de rede pela primeira vez.
• Como usar a interface de rede.
• Quais recursos você pode configurar na interface de rede.

• Use um cabo Ethernet para conectar o terminal de configuração a uma porta Ethernet no dispositivo.
• Identifique o endereço IP e a máscara do dispositivo. O dispositivo usa o endereço IP padrão, conforme mostrado no guia de usuario. A máscara é 255.255.255.0.
• Figura 1: Endereço IP Padrão do PI no Dispositivo
• Endereço IP Padrão do PI: 192.168.0.1
• Atribua ao host de conexão um endereço IP na mesma sub-rede do dispositivo.
• Abra o navegador e digite as informações de conexão:
• Na barra de endereço, digite o endereço IP do dispositivo.
• Acesso HTTP: Digite o endereço em http:// endereço IP:porta ou endereço IP:porta formato.
• Acesso HTTPS: Digite o endereço em https:// endereço IP:porta formato.
• O argumento endereço IP representa o endereço IP do dispositivo. O argumento da porta representa a porta de serviço HTTP ou HTTPS. O número de porta padrão é 80 para HTTP e 443 para HTTPS. Você não precisa inserir o número da porta se não tiver alterado a porta de serviço.
• Na página de login, insira o nome de usuário padrão (admin), a senha (admin) e o código de verificação.
• Clique em Fazer Login.
• Para alterar as informações de conexão, clique no ícone do Administrador.
• Para adicionar novas contas de usuário e atribuir permissões de acesso a diferentes usuários, selecione Dispositivo > Manutenção > Administradores.

• Faça login no dispositivo através da porta do console e configure os parâmetros de Conexão à Rede conforme a seguir:
• Habilite os serviços HTTP e HTTPS.
• Crie um usuário local como administrador, atribua a função de administrador de rede ao usuário, selecione HTTP e HTTPS como serviços disponíveis e defina a senha do usuário local.
• Configure o endereço IP da interface VLAN 1.
• Use um cabo Ethernet para conectar o terminal de configuração a uma porta Ethernet no dispositivo.
• Identifique o endereço IP e a máscara do dispositivo da seguinte maneira:
• Se um servidor DHCP estiver em uso, o servidor DHCP atribuirá automaticamente um endereço IP ao dispositivo. Para identificar o endereço IP do dispositivo, use o comando mostrar IP interface apresentação da seguinte maneira:

display ip interface brief mostrar IP interface apresentação

<Sysname> display ip interface brief
*down: administratively down (s): spoofing (l): loopback
Interface       Physical Protocol IP address    VPN instance Description
MGE0/0/0        up       up       192.168.1.137 --           --
Vlan1           up       up       169.254.0.255 --           --

• Se nenhum servidor DHCP estiver em uso, o dispositivo usará o endereço IP da interface VLAN 1.
• Atribua ao host de conexão um endereço IP na mesma sub-rede do dispositivo.
• Abra o navegador e digite as informações de conexão:
• Na barra de endereço, digite o endereço IP do dispositivo.
• Acesso HTTP: Digite o endereço em http:// endereço IP:porta formato.
• Acesso HTTPS: Digite o endereço em https:// endereço IP:porta formato.
• O argumento endereço IP representa o endereço IP do dispositivo. O argumento da porta representa a porta de serviço HTTP ou HTTPS. O número de porta padrão é 80 para HTTP e 443 para HTTPS. Você não precisa inserir o número da porta se não tiver alterado a porta de serviço.
• Na página de login, insira o nome de usuário e a senha.
• Clique em Fazer Login.
• Para alterar as informações de conexão, clique no ícone do Administrador.
• Para adicionar novas contas de usuário e atribuir permissões de acesso a diferentes usuários, selecione Dispositivo > Manutenção > Administradores.

• Use um dos seguintes métodos para salvar a configuração atual.
• Clique no ícone Salvar no canto superior esquerdo.
• Selecione Dispositivo > Manutenção > Configuração para acessar a página de gerenciamento de configuração.
• Clique em Sair no canto superior esquerdo da interface de rede.

• Para alterar o nome padrão do dispositivo, selecione Dispositivo > Manutenção > Configurações na Menu de navegação.
• Para excluir um LCA IPv4, selecione Recursos > LCA > IPv4 na Menu de navegação.

• Registro do sistema.
• Uso da CPU e memória.
• Número de série do dispositivo.
• Informações da versão do hardware. Este menu não possui submenus.

Menu de Logs

Use a Tabela 11 para navegar nas tarefas que você pode executar a partir do menu de Logs.

Tabela 11 - Navegador do Menu de Logs

• NTP - Protocolo de Hora de Rede. O NTP é tipicamente usado em redes grandes para sincronizar dinamicamente o tempo entre dispositivos de rede. Ele fornece uma precisão de relógio superior à configuração manual da hora do sistema.
• SNTP - NTP Simples, uma implementação mais simples do NTP. O SNTP usa os mesmos formatos de pacote e procedimentos de troca que o NTP. No entanto, o SNTP simplifica o procedimento de sincronização de relógio. Comparado ao NTP, o SNTP utiliza menos recursos e implementa a sincronização de relógio em menos tempo, mas oferece uma precisão de tempo menor.

• Gerenciamento de contas de usuário: Gerencia informações e atributos de contas de usuário (por exemplo, nome de usuário e senha).
• Controle de acesso com base em funções: Gerencia permissões de acesso do usuário com base na função do usuário.
• Controle de senha: Gerencia senhas de usuário e controla o status de login do usuário com base em políticas predefinidas.

• Define um conjunto de regras para determinar funções acessíveis ou inacessíveis para a função de usuário.
• Configura políticas de acesso a recursos para especificar quais interfaces, VLANs e instâncias VRF são acessíveis para a função de usuário.

• Leitura: Menus web que exibem informações de configuração e manutenção.
• Escrita: Menus web que configuram o recurso no sistema.
• Execução: Menus web que executam funções específicas.

• Política de interface: Controla o acesso a interfaces.
• Política de VLAN: Controla o acesso a VLANs.

• Criar ou remover a interface ou VLAN.
• Configurar atributos para a interface ou VLAN.
• Aplicar a interface ou VLAN a outros parâmetros.

• Autorização local - Se o usuário passar na autorização local, o dispositivo atribuirá os perfis de usuário especificados na conta de usuário local.
• Autorização remota - Se o usuário passar na autorização remota, o servidor AAA remoto atribuirá os perfis de usuário especificados no servidor.

• Gerenciar configurações de senha de login e super senha, expirações e atualizações para usuários de gerenciamento de dispositivo.
• Controlar o status de login do usuário com base em políticas predefinidas.

• Letras maiúsculas de A a Z.
• Letras minúsculas de a a z.
• Dígitos de 0 a 9.
• Caracteres especiais. Consulte a Tabela 15.

• Restrição de composição de senha.
• Restrição de comprimento mínimo de senha.
• Verificação de nome de usuário.

• Aumento da largura de banda além dos limites de uma única conexão. Em um link agregado, o tráfego é distribuído entre as portas de membros.
• Melhor confiabilidade na conexão. As portas de membros se complementam dinamicamente. Quando uma porta de membro falha, o tráfego é automaticamente redirecionado para outras portas de membros.

• Camada 2—As portas de membros em um grupo de agregação de Camada 2 podem ser apenas interfaces Ethernet de Camada 2.
• Camada 3—As portas de membros em um grupo de agregação de Camada 3 podem ser apenas interfaces Ethernet de Camada 3.

• Selecionada—Uma porta Selecionada pode encaminhar tráfego.
• Não Selecionada—Uma porta Não Selecionada não pode encaminhar tráfego.

• IDs de VLAN permitidos.
• PVID (ID da VLAN da Porta).
• Modo de marcação de VLAN.

• Estático—A agregação estática é estável. Um grupo de agregação em modo estático é chamado de grupo de agregação estático. Os estados de agregação das portas de membros em um grupo de agregação estático não são afetados pelas portas pares.
• Dinâmico—Um grupo de agregação em modo dinâmico é chamado de grupo de agregação dinâmico. O sistema local e o sistema par têm automaticamente os estados de agregação das portas de membros por meio do LACP, o que reduz a carga de trabalho dos administradores.

• Compartilhamento de carga por fluxo — Distribui o tráfego com base em fluxos.

O modo de compartilhamento de carga classifica os pacotes em fluxos e encaminha os pacotes do mesmo fluxo na mesma conexão. Este modo pode ser baseado em um ou uma combinação dos seguintes critérios de classificação de tráfego:

• IP de Origem.
• IP de Destino.
• MAC de Origem.
• MAC de Destino.
• Compartilhamento de carga por pacote — Distribui o tráfego por pacote.
• Compartilhamento de carga automático — Seleciona automaticamente um modo de compartilhamento de carga dependendo do tipo de pacote.

• Nenhuma ação—Não executa nenhuma ação na interface.
• Bloqueio — Bloqueia esse tipo de tráfego e encaminha outros tipos de tráfego. Mesmo que a interface não encaminhe o tráfego bloqueado, ela ainda conta o tráfego. Quando o tráfego bloqueado cai abaixo do limite inferior, a interface começa a encaminhar o tráfico.
• Desligamento — A interface é desativada automaticamente e para de encaminhar qualquer tráfego. Quando o tráfego bloqueado cai abaixo do limite inferior, a interface não volta a ser ativada automaticamente. Para ativar a interface, ative-a manualmente ou desative a função de Storm control.

É possível configurar uma interface Ethernet para emitir armadilhas de eventos de limite e mensagens de log quando o tráfego monitorado atende a uma das seguintes condições:

• Excede o limite superior.
• Desce abaixo do limite inferior.

• Para configurar a porta como uma porta desmarcada de uma VLAN, atribua-a à lista de portas desmarcadas da VLAN. A porta desmarcada de uma VLAN encaminha pacotes da VLAN sem marcadores de VLAN.
• Para configurar a porta como uma porta marcada de uma VLAN, atribua-a à lista de portas marcadas da VLAN. A porta marcada de uma VLAN encaminha pacotes da VLAN com marcadores de VLAN.

É possível configurar o tipo de link de uma porta como acesso, tronco ou híbrido. Portas de diferentes tipos de link utilizam métodos diferentes de manipulação de marcadores de VLAN.

• Acesso—Uma porta de acesso pode encaminhar pacotes de apenas uma VLAN e enviá-los sem marcadores. Atribua uma porta de acesso somente à lista de portas desmarcadas de uma VLAN.
• Tronco—Uma porta de tronco pode encaminhar pacotes de várias VLANs. Exceto pacotes do ID de VLAN da porta (PVID), pacotes enviados de uma porta de tronco são marcados com VLAN. Atribua uma porta de tronco à lista de portas desmarcadas do PVID da porta e à lista de portas marcadas de outras VLANs.
• Híbrido—Uma porta híbrida pode encaminhar pacotes de várias VLANs. É possível atribuir uma porta híbrida à lista de portas desmarcadas de algumas VLANs e à lista de portas marcadas de outras VLANs. Uma porta híbrida desmarcada de uma VLAN encaminha pacotes da VLAN sem marcadores de VLAN. Uma porta híbrida marcada de uma VLAN encaminha pacotes da VLAN com marcadores de VLAN.

• Atribui a porta receptora dos pacotes de protocolo à Voice Vlan.
• Emite regras de ACL e define a precedência do pacote.
• Inicia o temporizador de envelhecimento da Voice Vlan.

• Modo Normal—A porta recebe pacotes marcados com Voice Vlan e os encaminha na Voice Vlan sem examinar seus endereços MAC. Se o PVID da porta for a Voice Vlan e a porta operar no modo de atribuição de VLAN manual, a porta encaminhará todos os pacotes não marcados recebidos na Voice Vlan.
• Modo de Segurança—A porta usa os endereços MAC de origem dos pacotes recebidos para fazer correspondência com os endereços OUI do dispositivo. Os pacotes que não correspondem serão descartados.

• O dispositivo encaminha o quadro para a interface de saída na entrada correspondente se encontrar uma correspondência.
• O dispositivo faz um flood do quadro na VLAN do quadro se não encontrar correspondência.

• Entradas Dinâmicas—Uma entrada dinâmica pode ser configurada manualmente ou aprendida dinamicamente para encaminhar quadros com um endereço MAC de destino específico pela interface associada. Uma entrada dinâmica pode expirar. Uma entrada dinâmica configurada manualmente tem a mesma prioridade que uma aprendida dinamicamente.
• Entradas Estáticas—Uma entrada estática é adicionada manualmente para encaminhar quadros com um endereço MAC de destino específico pela interface associada, e ela nunca expira. Uma entrada estática tem prioridade mais alta do que uma entrada aprendida dinamicamente.
• Entradas de Buraco Negro—Uma entrada de buraco negro é configurada manualmente e nunca expira. Uma entrada de buraco negro é configurada para filtrar quadros com um endereço MAC de origem ou de destino específico. Por exemplo, para bloquear todos os quadros destinados a um usuário, é possível configurar o endereço MAC do usuário como uma entrada de endereço de buraco negro.
• Entradas de Segurança—Uma entrada de segurança pode ser configurada manualmente ou aprendida dinamicamente para encaminhar quadros com um endereço MAC específico pela interface associada. Uma entrada de segurança nunca expira.

• Podam a estrutura de loop em uma estrutura de árvore livre de loops para uma rede de Camada 2 bloqueando seletivamente portas.
• Mantêm a estrutura da árvore para a rede ativa. Os protocolos de Spanning tree incluem STP, RSTP e MSTP:

• Modo STP—Todas as portas do dispositivo enviam BPDUs STP. Selecione este modo quando o dispositivo de porta peer suportar apenas STP.
• Modo RSTP—Todas as portas do dispositivo enviam BPDUs RSTP. Uma porta neste modo faz automaticamente a transição para o modo STP quando recebe BPDUs STP de um dispositivo peer. A porta não faz a transição para o modo MSTP quando recebe BPDUs MSTP de um dispositivo peer.

• Protocolo de Spanning tree habilitado.
• Mesmo nome de região.
• Configuração de mapeamento de VLAN para instância idêntica.
• Mesmo nível de revisão MSTP.
• Fisicamente conectados.

• Porta raiz—Encaminha dados para uma ponte não raiz na ponte raiz. A ponte raiz não tem porta raiz.
• Porta designada—Encaminha dados para o segmento ou dispositivo de rede a jusante.
• Porta alternativa—Serve como porta de backup para uma porta raiz ou porta mestra. Quando a porta raiz ou porta mestra está bloqueada, a porta alternativa assume.
• Porta de backup—Serve como porta de backup de uma porta designada. Quando a porta designada é inválida, a porta de backup se torna a nova porta designada.
• Porta mestra—Serve como porta no caminho mais curto da região MST local para a ponte raiz comum. A porta mestra nem sempre está localizada na raiz regional. Ela é uma porta raiz na IST ou CIST e ainda é uma porta mestra nas outras MSTIs. O cálculo STP envolve portas raiz, portas designadas e portas alternativas. O cálculo RSTP envolve portas raiz, portas designadas, portas alternativas e portas de backup. O cálculo MSTP envolve todas as funções de porta.

• Agente de ponte mais próxima.
• Agente de ponte de cliente mais próxima.
• Agente de ponte mais próxima que não é TPMR.

• ID de rede - Identifica uma rede. Os primeiros bits de um ID de rede, conhecidos como campo de classe, identificam a classe do endereço IP.
• ID do host - Identifica um host em uma rede.

• Sem sub-rede - 65534 (216 - 2) hosts. (Os dois endereços deduzidos são o endereço de transmissão, que tem um ID de host todo em uns, e o endereço de rede, que tem um ID de host todo em zeros.)
• Com sub-rede - O uso dos primeiros nove bits do ID de host para subdivisão fornece 512 (29) sub-redes. No entanto, apenas sete bits permanecem disponíveis para o ID do host. Isso permite 126 (27 - 2) hosts em cada sub-rede, totalizando 64512 (512 * 126) hosts.

• Entrada ARP Estática Longa - Ela contém o endereço IP, endereço MAC, VLAN e interface de saída. É usada diretamente para encaminhar pacotes.
• Entrada ARP Estática Curta - Ela contém apenas o endereço IP e o endereço MAC.

• Roteamento para buraco de ARP (ARP blackhole).
• Supressão de origem ARP (ARP source suppression).
• Verificação de consistência de MAC de origem de pacotes ARP (ARP packet source MAC consistency check).
• Reconhecimento ativo de ARP (ARP active acknowledgement).
• Detecção de ataque ARP com base no MAC de origem (Source MAC-based ARP attack detection).
• ARP autorizado (Authorized ARP).
• Varredura ARP e ARP fixo (ARP scanning and fixed ARP).
• O dispositivo de acesso oferece suporte às seguintes funcionalidades:
• Limite de taxa de pacotes ARP (ARP packet rate limit).
• Proteção de gateway ARP (ARP gateway protection).
• Filtragem ARP (ARP filtering).
• Detecção ARP (ARP detection).

• O dispositivo envia um grande número de solicitações ARP, sobrecarregando as sub-redes de destino.
• O dispositivo continua tentando resolver os endereços IP de destino, sobrecarregando sua CPU.

• Supressão de Origem ARP (ARP source suppression) - Para de resolver pacotes de um host se o número de pacotes irresolvíveis do host exceder o limite superior dentro de 5 segundos. O dispositivo retoma a resolução ARP quando o intervalo expira. Essa funcionalidade é aplicável se os pacotes de ataque tiverem os mesmos endereços de origem.
• Roteamento para Buraco de ARP (ARP blackhole routing) - Cria uma rota para um buraco de ARP destinada a um endereço IP irresolvível. O dispositivo descarta todos os pacotes correspondentes até que a rota de buraco de ARP envelheça. Essa funcionalidade é aplicável, independentemente de os pacotes de ataque terem os mesmos endereços de origem.

• Se sim, o gateway realiza um reconhecimento ativo. Quando a resposta ARP é verificada como válida, o gateway cria uma entrada ARP.
• Se não, o gateway descarta o pacote.

• Monitoramento - Gera apenas mensagens de log.
• Filtragem - Gera mensagens de log e filtra os pacotes ARP subsequentes desse endereço MAC.

• Envia solicitações ARP para cada endereço IP na faixa de endereços.
• Obtém os endereços MAC por meio das respostas ARP recebidas.
• Cria entradas ARP dinâmicas.

• Verificação de validade do usuário
• Se você habilitar a detecção ARP apenas para uma VLAN, ela fornecerá apenas a verificação de validade do usuário.

Ao receber um pacote ARP de uma interface ARP não confiável, o dispositivo compara os endereços IP e MAC do remetente com as seguintes entradas:

• Entradas de vinculação do IP de origem estático.
• Entradas de DHCP snooping.
• Se uma correspondência for encontrada, o pacote ARP é considerado válido e encaminhado. Caso contrário, o pacote ARP é considerado inválido e descartado.
• Verificação de validade do pacote ARP

• MAC de Origem — Verifica se o endereço MAC do remetente no corpo da mensagem é idêntico ao endereço MAC de origem no cabeçalho Ethernet. Se forem idênticos, o pacote é encaminhado. Caso contrário, o pacote é descartado.
• MAC de Destino — Verifica o endereço MAC de destino nas respostas ARP. Se o endereço MAC de destino for tudo-zero, tudo-um ou inconsistente com o endereço MAC de destino no cabeçalho Ethernet, o pacote é considerado inválido e descartado.
• IP — Verifica os endereços IP de origem e destino das respostas ARP, e o endereço IP de origem das solicitações ARP. Endereços IP de tudo-um ou multicast são considerados inválidos e os pacotes correspondentes são descartados.

• Envia solicitações ARP para cada endereço IP na faixa de endereços.
• Obtém os endereços MAC por meio das respostas ARP recebidas.
• Cria entradas ARP dinâmicas.

• Se o usuário inserir um nome de domínio sem um ponto (.) (por exemplo, aabbcc), o resolvedor considera o nome de domínio como um nome de host. Ele adiciona um sufixo DNS ao nome do host antes de realizar a operação de consulta. Se nenhuma correspondência for encontrada para qualquer combinação de nome de host e sufixo, o resolvedor usará o nome de domínio inserido pelo usuário (por exemplo, aabbcc) para a consulta de endereço IP.
• Se o usuário inserir um nome de domínio com um ponto (.) entre as letras (por exemplo, www.aabbcc), o resolvedor usará diretamente esse nome de domínio para a operação de consulta. Se a consulta falhar, o resolvedor adicionará um sufixo DNS para outra operação de consulta.
• Se o usuário inserir um nome de domínio com um ponto (.) no final (por exemplo, aabbcc.com.), o resolvedor considera o nome de domínio como um FQDN e retorna o resultado da consulta com sucesso ou falha. O ponto no final do nome de domínio é considerado um símbolo de terminação.

• Endereço unicast Um identificador para uma única interface, semelhante a um endereço IPv4 unicast. Um pacote enviado para um endereço unicast é entregue à interface identificada por esse endereço.
• Endereço multicast Um identificador para um conjunto de interfaces (geralmente pertencentes a diferentes nós), semelhante a um endereço multicast IPv4. Um pacote enviado para um endereço multicast é entregue a todas as interfaces identificadas por esse endereço. Os endereços de transmissão são substituídos por endereços multicast no IPv6.
• Endereço anycast Um identificador para um conjunto de interfaces (geralmente pertencentes a diferentes nós). Um pacote enviado para um endereço anycast é entregue à interface mais próxima entre as interfaces identificadas por esse endereço. A interface mais próxima é escolhida de acordo com a medida de distância do protocolo de roteamento.

• Insira o número binário de 16 bits 1111111111111110 (valor hexadecimal de FFFE) após o 24º bit de alta ordem do endereço MAC.
• Inverta o bit universal/local (U/L) (o sétimo bit de alta ordem). Essa operação faz com que o identificador de interface tenha o mesmo significado local ou global que o endereço MAC.
• Em uma interface de tunelamento - Os 32 bits inferiores do identificador de interface baseado em endereço EUI-64 são o endereço IPv4 de origem da interface de tunelamento. Os 32 bits superiores do identificador de interface baseado em endereço EUI-64 de uma interface de tunelamento ISATAP são 0000:5EFE, enquanto os de outras interfaces de tunelamento são todos zeros.
• Em uma interface de outro tipo (como uma interface serial) - O identificador de interface baseado em endereço EUI-64 é gerado aleatoriamente pelo dispositivo.

• Endereço IPv6 EUI-64 - O prefixo de endereço IPv6 da interface é configurado manualmente, e o identificador de interface é gerado automaticamente pela interface.
• Configuração manual - O endereço global unicast IPv6 é configurado manualmente.
• Autoconfiguração de endereço sem estado - O endereço global unicast IPv6 é gerado automaticamente de acordo com as informações do prefixo de endereço contidas na mensagem RA e o identificador de interface baseado em endereço EUI-64.
• Autoconfiguração de endereço com estado - Permite que um host adquira um endereço IPv6 de um servidor DHCPv6.

• Geração automática - O dispositivo gera automaticamente um endereço de link local para uma interface de acordo com o prefixo de endereço de link local (FE80::/10) e o identificador de interface baseado em endereço EUI-64.
• Atribuição manual - Um endereço de link local IPv6 é configurado manualmente.

• O endereço de link local ainda é o atribuído manualmente.
• O endereço de link local gerado automaticamente não entra em vigor. Se você excluir o endereço atribuído manualmente, o endereço de link local gerado automaticamente entra em vigor.

• Resolução de endereços
• Deteção de acessibilidade de vizinhos
• DAD (Duplicated Address Detection)
• Descoberta de roteador/prefixo
• Autoconfiguração de endereço sem estado
• Redirecionamento

• Porta de origem (Source port) - Porta monitorada no dispositivo. Os pacotes da porta monitorada serão copiados e enviados para a porta de destino.
• Dispositivo de origem (Source device) - Dispositivo onde uma porta de origem reside.
• Porta de destino (Destination port) - Porta que se conecta ao dispositivo de monitoramento de dados. Os pacotes da porta de origem serão copiados e enviados para a porta de destino.
• Dispositivo de destino (Destination device) - Dispositivo onde a porta de destino reside.
• Grupo de espelhamento (Mirroring group) - Inclui o grupo de espelhamento local e o grupo de espelhamento remoto.
• Grupo de espelhamento local (Local mirroring group) - A porta de origem e a porta de destino estão no mesmo dispositivo. Um grupo de espelhamento local é um grupo de espelhamento que contém as portas de origem e a porta de destino no mesmo dispositivo.
• Espelhamento de porta remota (Remote Port Mirroring) - A porta de origem e a porta de destino estão em dispositivos diferentes. Um grupo de origem remota é um grupo de espelhamento que contém as portas de origem. Um grupo de destino remoto é um grupo de espelhamento que contém a porta de destino. No espelhamento de porta remota, os pacotes espelhados são transmitidos pela VLAN de sonda remota do dispositivo de origem para o dispositivo de destino.

• O RIPv1 é um protocolo de roteamento de classe. Ele anuncia mensagens apenas por broadcast. As mensagens do RIPv1 não carregam informações de máscara, portanto, o RIPv1 não suporta sub-redes descontínuas.

• O RIPv2 é um protocolo de roteamento sem classe. Ele suporta dois modos de transmissão: broadcast e multicast. O multicast é o modo padrão, usando 224.0.0.9 como o endereço de multicast. Uma interface operando no modo de broadcast do RIPv2 também pode receber mensagens do RIPv1.

• Tabela de roteamento de multicast IPv4 de cada protocolo de roteamento de multicast, como a tabela de roteamento PIM.
• Tabela geral de roteamento de multicast IPv4 que resume as informações de roteamento de multicast geradas por diferentes protocolos de roteamento de multicast.

• Protocolo Independente de Multicast – Modo Denso (PIM-DM) – O PIM-DM é adequado para redes de pequeno porte com membros de multicast distribuídos densamente.
• Protocolo Independente de Multicast – Modo Esparsa (PIM-SM) – O PIM-SM é adequado para redes de médio e grande porte com membros de grupos de multicast distribuídos de forma esparsa e ampla.
• Protocolo Independente de Multicast – Multicast Específico de Fonte (PIM-SSM) – O PIM-SSM pode ser implementado aproveitando parte da técnica PIM-SM. Antes de configurar o PIM-SSM, você deve primeiro habilitar o PIM-SM.

Se você habilitar o PIM-DM em uma interface, será usado o modo PIM-DM. Se você habilitou o PIM-SM em uma interface, o modo PIM na interface varia de acordo com o grupo de multicast para o qual um pacote de multicast é destinado.

• Se o grupo de multicast estiver na faixa de grupos SSM, será usado o modo PIM-SSM.
• Se o grupo de multicast não estiver na faixa de grupos SSM, será usado o modo PIM-SM.

• IGMPv1 - O IGMPv1 gerencia as associações de grupos de multicast com base no mecanismo de consulta e resposta.
• IGMPv2 - Compatível com o IGMPv1, o IGMPv2 introduziu um mecanismo de eleição de consultor e um mecanismo de saída de grupo.
• IGMPv3 - Com base e compatível com o IGMPv1 e o IGMPv2, o IGMPv3 aprimora as capacidades de controle dos hosts e as capacidades de consulta e relatório dos roteadores IGMP. O IGMPv3 introduziu dois modos de filtragem de fontes (Incluir e Excluir). Esses modos permitem que um host receba ou rejeite dados de multicast das fontes de multicast especificadas.

• A configuração manual e a administração centralizada são difíceis de implementar.
• Os endereços IP são limitados. Por exemplo, um provedor de serviços de Internet limita o número de usuários online simultâneos, e os usuários devem adquirir endereços IP dinamicamente.
• A maioria dos hosts não precisa de endereços IP fixos.

O servidor DHCP seleciona endereços IP e outros parâmetros a partir de um pool de endereços e os atribui aos clientes DHCP. Um pool de endereços DHCP contém os seguintes itens:

• Endereços IP atribuíveis.
• Duração do arrendamento.
• Endereços de gateway.
• Sufixo de nome de domínio.
• Endereços de servidores DNS.
• Endereços de servidores WINS.
• Tipo de nó NetBIOS.
• Opções DHCP.

• Alocação de endereço estático - Associe manualmente o endereço MAC ou ID de um cliente a um endereço IP em um pool de endereços DHCP. Quando o cliente solicita um endereço IP, o servidor DHCP atribui o endereço IP na associação estática ao cliente.
• Alocação de endereço dinâmico - Especifique faixas de endereços IP em um pool de endereços DHCP. Ao receber uma solicitação DHCP, o servidor DHCP seleciona dinamicamente um endereço IP na faixa de endereços IP correspondente no pool.

Você pode especificar a duração do arrendamento para endereços IP no pool de endereços DHCP.

O servidor DHCP observa os seguintes princípios para selecionar um pool de endereços para um cliente:

• Se houver um pool de endereços onde um endereço IP está vinculado estaticamente ao endereço MAC ou ID do cliente, o servidor DHCP seleciona esse pool de endereços e atribui o endereço IP vinculado estaticamente e outros parâmetros de configuração ao cliente.
• Se nenhum pool de endereço estático estiver configurado, o servidor DHCP seleciona um pool de endereços com base na localização do cliente.
• Cliente na mesma sub-rede que o servidor - O servidor DHCP compara o endereço IP da interface receptora com as sub-redes de todos os pools de endereços. Se houver correspondência, o servidor seleciona o pool de endereços com a sub-rede correspondente mais longa.
• Cliente em uma sub-rede diferente da do servidor - O servidor DHCP compara o endereço IP no campo giaddr da solicitação DHCP com as sub-redes de todos os pools de endereços. Se houver correspondência, o servidor seleciona o pool de endereços com a sub-rede correspondente mais longa.

1. Endereço IP vinculado estaticamente ao MAC ou ID do cliente.
2. Endereço IP que já foi atribuído ao cliente anteriormente.
3. Endereço IP designado pelo campo Opção 50 na mensagem DHCP-DISCOVER enviada pelo cliente. A Opção 50 é a Opção de Endereço IP Solicitado. O cliente usa esta opção para especificar o endereço IP desejado em uma mensagem DHCP-DISCOVER. O conteúdo da Opção 50 é definido pelo usuário.
4. Primeiro endereço IP atribuível encontrado na escolha de um pool de endereços.
5. Endereço IP que estava em conflito ou que passou do prazo de arrendamento. Se nenhum endereço IP for atribuível, o servidor não responde.

• Adicionar novas opções de DHCP lançadas.
• Adicionar opções para as quais o fornecedor define o conteúdo, por exemplo, Opção 43. Servidores e clientes DHCP podem usar opções específicas do fornecedor para trocar informações de configuração específicas do fornecedor.
• Adicionar opções para as quais a interface Web não fornece uma página de configuração dedicada. Por exemplo, você pode usar a Opção 4 para especificar o endereço do servidor de tempo 1.1.1.1 para clientes DHCP.
• Adicionar todos os valores das opções se o requisito real exceder o limite de uma página de configuração de opção dedicada. Por exemplo, na página de configuração do servidor DNS, você pode especificar até oito servidores DNS. Para especificar mais de oito servidores DNS, você pode usar a Opção 6 para especificar todos os servidores DNS.

• O endereço IP de uma entrada de retransmissão.
• O endereço MAC da interface de retransmissão DHCP.

O agente de retransmissão mantém as entradas de retransmissão com base no que recebe do servidor DHCP:

• Se o servidor retornar uma mensagem DHCP-ACK ou não retornar nenhuma mensagem dentro de um intervalo, o agente de retransmissão DHCP remove a entrada de retransmissão. Além disso, ao receber a mensagem DHCP-ACK, o agente de retransmissão envia uma mensagem DHCP-RELEASE para liberar o endereço IP.
• Se o servidor retornar uma mensagem DHCP-NAK, o agente de retransmissão mantém a entrada de retransmissão.

• O HTTPS usa SSL para garantir a integridade e segurança dos dados trocados entre o cliente e o servidor.
• O HTTPS permite definir uma política de controle de acesso baseada em atributos de certificado para permitir apenas clientes legais a acessar a interface web.

• Telnet Seguro - O Stelnet fornece serviços de acesso seguro e confiável ao terminal de rede. Através do Stelnet, um usuário pode fazer login com segurança em um servidor remoto. O Stelnet pode proteger dispositivos contra ataques, como spoofing de IP e interceptação de senhas em texto simples. O dispositivo pode atuar como um servidor Stelnet ou um cliente Stelnet.
• Protocolo de Transferência de Arquivos Seguro - Com base no SSH2, o SFTP usa conexões SSH para fornecer transferência de arquivos segura.
• Cópia Segura - Com base no SSH2, o SCP oferece um método seguro para copiar arquivos.
• Quando atua como servidor Stelnet, SFTP ou SCP, o dispositivo suporta tanto SSH2 quanto SSH1 no modo não FIPS e somente SSH2 no modo FIPS.

• Selecione um dispositivo que tenha um relógio relativamente preciso na rede.
• Use o relógio local do dispositivo como relógio de referência para sincronizar outros dispositivos na rede.

• SNMPv1 e SNMPv2c usam o nome da comunidade para autenticação. Um NMS pode acessar um dispositivo somente quando o NMS e o dispositivo usam o mesmo nome de comunidade.
• O SNMPv3 usa o nome de usuário para autenticação e permite que você configure uma chave de autenticação e uma chave de privacidade para aprimorar a segurança da comunicação. A chave de autenticação autentica a validade do remetente do pacote. A chave de privacidade é usada para criptografar os pacotes transmitidos entre o NMS e o dispositivo.

• Especificar uma visualização MIB para a comunidade. Você pode especificar apenas uma visualização MIB para uma comunidade.
  • Se você conceder permissão de leitura apenas para a comunidade, o NMS só poderá ler os valores dos objetos na visualização MIB.
  • Se você conceder permissão de leitura e gravação para a comunidade, o NMS poderá ler e definir os valores dos objetos na visualização MIB.
• Especificar uma ACL IPv4 básica ou uma ACL IPv6 básica para a comunidade para filtrar NMSs ilegítimos para acessar o agente.
  • Apenas NMSs com o endereço IPv4/IPv6 permitido na ACL IPv4/IPv6 podem acessar o agente SNMP.
  • Se você não especificar uma ACL, ou a ACL especificada não existir, todos os NMSs na comunidade SNMP podem acessar o agente SNMP. Se a ACL especificada não tiver regras, nenhum NMS na comunidade SNMP poderá acessar o agente SNMP.

Controle de acesso SNMPv3

O SNMPv3 usa o nome de usuário para autenticação. Para controlar o acesso do NMS aos objetos MIB, configure uma ou ambas as seguintes configurações no nome de usuário que o NMS utiliza:

• Crie um grupo SNMPv3 e atribua o nome de usuário ao grupo. O usuário tem o mesmo direito de acesso do grupo.
  • Quando você cria o grupo, especifique uma ou mais visualizações MIB para o grupo. As visualizações MIB incluem visualização MIB somente leitura, visualização MIB leitura/gravação ou visualização MIB de notificação. Você pode especificar apenas uma visualização MIB de um tipo para um grupo.
  • A visualização MIB somente leitura permite que o grupo leia apenas os valores dos objetos na visualização.
  • A visualização MIB leitura/gravação permite que o grupo leia e defina os valores do objeto na visualização.
  • A visualização MIB de notificação envia automaticamente uma notificação para o NMS quando o grupo acessa a visualização.
• Especifique uma ACL IPv4 básica ou uma ACL IPv6 básica tanto para o usuário quanto para o grupo para filtrar NMSs ilegítimos para acessar o agente.
  • Apenas os NMSs permitidos pelas ACLs especificadas tanto para o usuário quanto para o grupo podem acessar o agente.
  • Se você não especificar uma ACL, ou a ACL especificada não existir, todos os NMSs na comunidade SNMP podem acessar o agente SNMP. Se a ACL especificada não tiver regras, nenhum NMS na comunidade SNMP poderá acessar o agente SNMP.

• Q7 Q6 Q5 Q4 Q3 Q2 Q1 Q0
• Grupo SP
• Grupo WRR 1
• Grupo WRR 2
• A fila 7 tem a prioridade mais alta. Seus pacotes são enviados preferencialmente.
• A fila 6 tem a segunda maior prioridade. Os pacotes na fila 6 são enviados quando a fila 7 estiver vazia.
• As filas 3, 4 e 5 são programadas de acordo com seus pesos. Quando as filas 6 e 7 estiverem vazias, o grupo WRR 1 é programado.
• As filas 1 e 2 são programadas de acordo com seus pesos. O grupo WRR 2 é programado quando as filas 7, 6, 5, 4 e 3 estiverem todas vazias.
• A fila 0 tem a prioridade mais baixa e é programada quando todas as outras filas estiverem vazias.

• Não Confiança - Não confia em nenhuma prioridade incluída nos pacotes.
• 802.1p - Confia nas prioridades 802.1p incluídas nos pacotes.
• DSCP - Confia nas prioridades DSCP incluídas nos pacotes IP.

• Taxa média na qual os tokens são inseridos no balde, que é a taxa média permitida de tráfego. Geralmente, é definida como a taxa de informação comprometida (CIR).
• Tamanho da rajada ou capacidade do balde de tokens. É o tamanho máximo de tráfego permitido em cada rajada. Geralmente, é definido como o tamanho de rajada comprometida (CBS). O tamanho de rajada definido deve ser maior que o tamanho máximo de pacote.

• IP-interface.
• MAC-interface.
• IP-MAC-interface.
• IP-VLAN-interface.
• MAC-VLAN-interface.
• IP-MAC-VLAN-interface.

• Filtram pacotes IPv4 de entrada na interface.
• Cooperam com a detecção ARP para verificar a validade do usuário.

• Cliente - Um terminal de usuário que busca acesso à LAN. O terminal deve ter software 802.1X para autenticar no dispositivo de acesso.
• Dispositivo de acesso - Autentica o cliente para controlar o acesso à LAN. Em um ambiente típico de 802.1X, o dispositivo de acesso usa um servidor de autenticação para realizar a autenticação.
• Servidor de autenticação - Fornece serviços de autenticação para o dispositivo de acesso. O servidor de autenticação autentica primeiro os clientes 802.1X usando os dados enviados pelo dispositivo de acesso. Em seguida, o servidor retorna os resultados da autenticação para o dispositivo de acesso para tomar decisões de acesso. O servidor de autenticação é tipicamente um servidor RADIUS. Em uma LAN pequena, você pode usar o dispositivo de acesso como servidor de autenticação.

Métodos de autenticação 802.1X

O dispositivo de acesso pode realizar relé EAP ou término EAP para se comunicar com o servidor RADIUS.

• Encerra os pacotes EAP recebidos do cliente.
• Encapsula as informações de autenticação do cliente em pacotes RADIUS padrão.
• Usa PAP ou CHAP para autenticar no servidor RADIUS.

Informações de Endereço MAC Silencioso

Quando um usuário falha na autenticação MAC, o dispositivo marca o endereço MAC do usuário como um endereço MAC silencioso, descarta o pacote e inicia um temporizador silencioso. O dispositivo descarta todos os pacotes subsequentes do endereço MAC silencioso dentro do tempo silencioso. O mecanismo silencioso evita a autenticação repetida durante um curto período de tempo.

Formato de Nome de Usuário

A autenticação MAC suporta os seguintes formatos de nome de usuário:

Domínio de Autenticação MAC

Por padrão, os usuários de autenticação MAC estão no domínio de autenticação padrão do sistema. Para implementar políticas de acesso diferentes para os usuários, você pode usar um dos seguintes métodos para especificar domínios de autenticação para os usuários de autenticação MAC:

A autenticação MAC escolhe um domínio de autenticação para os usuários em uma porta na seguinte ordem: domínio específico da porta, domínio global e domínio padrão.

Temporizador de Detecção Offline

Esse temporizador define o intervalo em que o dispositivo aguarda o tráfego de um usuário antes de considerá-lo inativo. Se uma conexão do usuário estiver inativa dentro do intervalo, o dispositivo encerra a sessão do usuário e para de contabilizar o uso do usuário.

Temporizador Silencioso

Esse temporizador define o intervalo em que o dispositivo deve aguardar antes de realizar a autenticação MAC para um usuário que falhou na autenticação MAC. Todos os pacotes do endereço MAC são descartados durante o tempo silencioso.

Temporizador de Tempo Limite do Servidor

Esse temporizador define o intervalo em que o dispositivo aguarda uma resposta de um servidor RADIUS antes de considerar o servidor RADIUS indisponível. Se o temporizador expirar durante a autenticação MAC, o usuário não poderá acessar a rede.

Configuração de Autenticação MAC em uma Porta

Para que a autenticação MAC tenha efeito em uma porta, você deve habilitar o recurso globalmente e na porta.

VLAN de Visitantes de Autenticação MAC

Uma VLAN de visitantes de autenticação MAC em uma porta acomoda usuários que falharam na autenticação MAC na porta. Os usuários na VLAN de visitantes de autenticação MAC podem acessar um conjunto limitado de recursos de rede, como um servidor de software, para baixar software e patches do sistema. Se nenhuma VLAN de visitantes de autenticação MAC estiver configurada, os usuários que falharam na autenticação MAC não podem acessar nenhum recurso de rede.

A Tabela 22 mostra como o dispositivo de acesso à rede lida com as VLANs de visitantes para usuários de autenticação MAC.

VLAN Crítica de Autenticação MAC

Uma VLAN crítica de autenticação MAC em uma porta acomoda usuários que falharam na autenticação MAC porque nenhum servidor de autenticação RADIUS está acessível. Os usuários em uma VLAN crítica de autenticação MAC só podem acessar recursos de rede na VLAN crítica.

A funcionalidade da VLAN crítica é ativada quando a autenticação MAC é realizada apenas por meio de servidores RADIUS. Se um usuário de autenticação MAC falhar na autenticação local após a autenticação RADIUS, o usuário não é atribuído à VLAN crítica.

Atraso de Autenticação MAC

Quando a autenticação 802.1X e a autenticação MAC estão habilitadas em uma porta, você pode atrasar a autenticação MAC para que a autenticação 802.1X seja acionada preferencialmente.

Se nenhuma autenticação 802.1X for acionada ou a autenticação 802.1X falhar dentro do período de atraso, a porta continua a processar a autenticação MAC.

Não defina o modo de segurança da porta como macAddressElseUserLoginSecure ou macAddressElseUserLoginSecureExt quando usar o atraso de autenticação MAC. O atraso não tem efeito em uma porta em nenhum dos dois modos.

Modo de Múltiplas VLANs de Autenticação MAC

O modo de múltiplas VLANs de autenticação MAC impede que um usuário online autenticado sofra interrupções no serviço devido a alterações de VLAN em uma porta. Quando a porta recebe um pacote originado pelo usuário em uma VLAN que não corresponde à mapeação MAC-VLAN existente, o dispositivo não desconecta o usuário nem o reautentica. O dispositivo cria uma nova mapeação MAC-VLAN para o usuário e a transmissão de tráfego não é interrompida. A mapeação MAC-VLAN original para o usuário permanece no dispositivo até que expire dinamicamente.

Esse recurso melhora a transmissão de dados vulneráveis a atrasos e interferências. Normalmente, é aplicável a usuários de telefones IP.

Reautenticação MAC Periódica

A reautenticação MAC periódica rastreia o status da conexão de usuários online e atualiza os atributos de autorização atribuídos pelo servidor RADIUS. Os atributos incluem ACL, VLAN e QoS com base no perfil do usuário.

O dispositivo reautentica um usuário online de autenticação MAC periodicamente somente após receber a ação de término Radius-request do servidor de autenticação para esse usuário. O atributo Session-Timeout (período de tempo de sessão) atribuído pelo servidor é o intervalo de reautenticação. O suporte para a configuração do servidor e a atribuição de atributos Session-Timeout e Termination-Action dependem do modelo do servidor.

Quando nenhum servidor é alcançável para a reautenticação MAC, o dispositivo mantém os usuários de autenticação MAC online ou desconecta os usuários, dependendo da configuração do recurso de manter online no dispositivo.

Manter Usuários Online

Por padrão, o dispositivo desconecta os usuários online de autenticação MAC se nenhum servidor for alcançável para a reautenticação MAC. O recurso de manter online mantém os usuários autenticados de autenticação MAC online quando nenhum servidor é alcançável para a reautenticação MAC.

Em uma rede de recuperação rápida, você pode usar o recurso de manter online para evitar que os usuários de autenticação MAC entrem online e offline frequentemente.

• Previne o acesso não autorizado à rede verificando os endereços MAC de origem do tráfego de entrada.
• Impede o acesso de dispositivos ou hosts não autorizados verificando os endereços MAC de destino do tráfego de saída.
• Controla a aprendizagem de endereços MAC e autenticação em uma porta para garantir que a porta aprenda apenas endereços MAC de origem confiáveis.

• O dispositivo falha em autorizar o ACL ou perfil de usuário especificado para o usuário.
• O servidor atribui um ACL ou perfil de usuário inexistente ao usuário.

• Um usuário que passa na autenticação 802.1X.
• Um usuário cujo endereço MAC contém o mesmo OUI que o OUI configurado no dispositivo.

Configurações de segurança de porta

Modos de segurança de porta

A segurança de porta oferece suporte às seguintes categorias de modos de segurança:

• Controle de aprendizagem MAC - Inclui dois modos: autoLearn e secure. A aprendizagem de endereços MAC é permitida em uma porta no modo autoLearn e desativada no modo secure.
• Autenticação - Os modos de segurança nesta categoria implementam a autenticação MAC, a autenticação 802.1X ou uma combinação desses dois métodos de autenticação.

Ao receber um quadro, a porta em um modo de segurança pesquisa a tabela de endereços MAC em busca do endereço MAC de origem. Se houver correspondência, a porta encaminha o quadro. Se nenhuma correspondência for encontrada, a porta aprende o endereço MAC ou realiza a autenticação, dependendo do modo de segurança. Se o quadro for ilegal, a porta toma a ação predefinida de NTK ou proteção contra intrusões. Quadros de saída não são restritos pela ação NTK da segurança de porta, a menos que acionem o recurso NTK.

• Controlar o Aprendizado de Endereços MAC:
  • autoLearn.

  Uma porta neste modo pode aprender endereços MAC. Os endereços MAC aprendidos automaticamente não são adicionados à tabela de endereços MAC como endereços MAC dinâmicos. Em vez disso, esses endereços MAC são adicionados à tabela de endereços MAC seguros como endereços MAC seguros. Você também pode adicionar manualmente endereços MAC seguros. Uma porta no modo autoLearn permite que os quadros provenientes dos seguintes endereços MAC passem:

  • Endereços MAC seguros.
  • Endereços MAC estáticos e dinâmicos configurados manualmente.

  Quando o número de endereços MAC seguros atinge o limite máximo, a porta entra no modo seguro.

  • secure.

  O aprendizado de endereços MAC é desativado em uma porta no modo seguro. Uma porta no modo seguro permite apenas que quadros provenientes dos seguintes endereços MAC passem:

  • Endereços MAC seguros.
  • Endereços MAC estáticos e dinâmicos configurados manualmente.
• Realizar autenticação 802.1X:
  • userLogin.

  Uma porta neste modo realiza a autenticação 802.1X e implementa o controle de acesso baseado em porta. A porta pode atender a vários usuários 802.1X. Uma vez que um usuário 802.1X passa pela autenticação na porta, qualquer usuário subsequente 802.1X pode acessar a rede pela porta sem autenticação.

  • userLoginSecure.

  Uma porta neste modo realiza a autenticação 802.1X e implementa o controle de acesso baseado em MAC. A porta atende apenas a um usuário que passa pela autenticação 802.1X.

  • userLoginSecureExt.

  Este modo é semelhante ao modo userLoginSecure, exceto que este modo suporta vários usuários 802.1X online.

  • userLoginWithOUI.

  Este modo é semelhante ao modo userLoginSecure. A diferença é que uma porta neste modo também permite quadros de um usuário cujo endereço MAC contém um OUI específico. Neste modo, a porta realiza primeiro a verificação de OUI. Se a verificação de OUI falhar, a porta realiza a autenticação 802.1X. A porta permite quadros que passam na verificação de OUI ou na autenticação 802.1X.

• Realizar autenticação MAC:
  • macAddressWithRadius:

  Uma porta neste modo realiza a autenticação MAC e atende a vários usuários.

• Realizar uma combinação de autenticação MAC e autenticação 802.1X:
  • macAddressOrUserLoginSecure.

  Este modo é a combinação dos modos macAddressWithRadius e userLoginSecure. O modo permite um usuário de autenticação 802.1X e vários usuários de autenticação MAC se conectarem. Neste modo, a porta realiza primeiro a autenticação 802.1X. Se a autenticação 802.1X falhar, a autenticação MAC é realizada.

  • macAddressOrUserLoginSecureExt.

  Este modo é semelhante ao modo macAddressOrUserLoginSecure, exceto que este modo suporta vários usuários de autenticação 802.1X e MAC.

  • macAddressElseUserLoginSecure.

  Este modo é a combinação dos modos macAddressWithRadius e userLoginSecure, com a autenticação MAC tendo prioridade mais alta, como implica a palavra-chave "Else". O modo permite um usuário de autenticação 802.1X e vários usuários de autenticação MAC se conectarem. Neste modo, a porta realiza a autenticação MAC ao receber quadros que não são 802.1X. Ao receber quadros 802.1X, a porta realiza a autenticação MAC e, em seguida, se a autenticação falhar, a autenticação 802.1X.

  • macAddressElseUserLoginSecureExt.

  Este modo é semelhante ao modo macAddressElseUserLoginSecure, exceto que este modo suporta vários usuários de autenticação 802.1X e MAC, como a palavra-chave "Ext" implica.

• Permite que os usuários realizem a autenticação por meio de um navegador da web sem instalar software cliente.
• Fornece às ISPs opções de gerenciamento diversificadas e funções estendidas. Por exemplo, as ISPs podem exibir anúncios, oferecer serviços comunitários e publicar informações na página de autenticação.
• Suporta vários modos de autenticação. Por exemplo, a autenticação re-DHCP implementa um esquema flexível de atribuição de endereços e economiza endereços IP públicos. A autenticação entre sub-redes pode autenticar usuários que residem em uma sub-rede diferente do dispositivo de acesso.

• Cliente de autenticação - Um navegador da web que executa HTTP/HTTPS ou um host de usuário que executa um aplicativo de cliente de portal.
• Dispositivo de acesso - Dispositivo de acesso de banda larga, como um switch ou um roteador.
• Servidor de autenticação de portal - Recebe solicitações de autenticação dos clientes de autenticação e interage com informações de autenticação de usuário no dispositivo de acesso.
• Servidor da web de portal - Envia a página de autenticação web para os clientes de autenticação e encaminha as informações de autenticação do usuário (nome de usuário e senha) para o servidor de autenticação de portal.

• Os novos usuários do portal não conseguem fazer login.
• Os usuários online no portal não conseguem fazer logout normalmente.

• Se um usuário contido no pacote não existir no dispositivo de acesso, o dispositivo de acesso notifica o servidor de autenticação de portal para excluir o usuário.
• Se o usuário não aparecer em nenhum pacote de sincronização dentro de um intervalo de detecção de sincronização, o dispositivo de acesso considera que o usuário não existe no servidor e faz logout do usuário.

• Intervalo de detecção - Intervalo em que o dispositivo detecta a acessibilidade do servidor.
• Número máximo de falhas consecutivas - Se o número de falhas consecutivas de detecção atingir esse valor, o dispositivo de acesso considera que o servidor web de portal não está acessível.

• Página de login
• Página de sucesso de login
• Página de falha de login
• Página online
• Página de sistema ocupado
• Página de sucesso de logout

• Solicitações Get - Usadas para obter arquivos estáticos nas páginas de autenticação e não permitem recursão. Por exemplo, se o arquivo Logon.htm inclui conteúdo que executa a ação Get no arquivo ca.htm, o arquivo ca.htm não pode fazer referência ao arquivo Logon.htm.

• Solicitações Post - Usadas quando os usuários enviam pares de nome de usuário e senha, fazem login e logout.

1. Observe as seguintes exigências ao editar um formulário de uma página de autenticação:

   • Uma página de autenticação pode ter vários formulários, mas deve haver um e apenas um formulário cuja ação seja logon.cgi. Caso contrário, as informações do usuário não podem ser enviadas para o servidor web de portal local.

   • O atributo de nome de usuário é fixado como PtUser. O atributo de senha é fixado como PtPwd.

   • O valor do atributo PtButton é Logon ou Logoff, o que indica a ação solicitada pelo usuário.

   • Uma solicitação Post de login deve conter os atributos PtUser, PtPwd e PtButton.

   • Uma solicitação Post de logout deve conter o atributo PtButton.

2. As páginas de autenticação Logon.htm e LogonFail.htm devem conter a solicitação Post de login.

3. As páginas de autenticação LogonSuccess.htm e Online.htm devem conter a solicitação Post de logout.

• O nome de um arquivo zip pode conter apenas letras, números e sublinhados.

• As páginas de autenticação devem ser colocadas no diretório raiz do arquivo zip.

• Arquivos zip podem ser transferidos para o dispositivo via FTP ou TFTP e devem ser salvos no diretório raiz do dispositivo.

1. Em Logon.htm, defina o atributo target do Form como _blank. Veja o conteúdo em cinza:

   <form method="post" action="logon.cgi" target="_blank">

2. Adicione a função para o carregamento da página pt_init() em LogonSuccess.htm. Veja o conteúdo em cinza:

   <html>
   <head>
   <title>LogonSuccessed</title>
   <script type="text/javascript" language="javascript" src="pt_private.js"></script>
   </head>
   <body onload="pt_init();" onbeforeunload="return pt_unload();">
   ... ...
   </body>
   </html>

   2

• Regras de portal livre baseadas em IP - Os itens correspondentes para uma regra de portal livre baseada em IP incluem o endereço IP e a porta TCP/UDP.

• Regras de portal livre baseadas em origem - Os itens correspondentes para uma regra de portal livre baseada em origem incluem o endereço MAC de origem, a interface de acesso e a VLAN.

Pacotes correspondentes a uma regra de portal livre não acionarão a autenticação do portal, portanto, os usuários que enviam os pacotes podem acessar diretamente os sites externos especificados.

• Desativa a autenticação de portal quando um dos servidores não está acessível.

• Restaura a autenticação de portal quando ambos os servidores estão acessíveis.

• Deteção ICMP ou ICMPv6 - Envia solicitações ICMP ou ICMPv6 para o usuário em intervalos configuráveis para detectar o status do usuário.

• Se o dispositivo receber uma resposta dentro do número máximo de tentativas de detecção, ele determina que o usuário está online e interrompe o envio de pacotes de detecção. Em seguida, o dispositivo redefine o temporizador de ociosidade e repete o processo de detecção quando o temporizador expira.

• Se o dispositivo não receber resposta após o número máximo de tentativas de detecção, o dispositivo faz logout do usuário.

• Deteção ARP ou ND - Envia solicitações ARP ou ND para o usuário e detecta o status da entrada ARP ou ND do usuário em intervalos configuráveis.

• Se a entrada ARP ou ND do usuário for atualizada dentro do número máximo de tentativas de detecção, o dispositivo considera que o usuário está online e interrompe a detecção. Em seguida, o dispositivo redefine o temporizador de ociosidade e repete o processo de detecção quando o temporizador expira.

• Se a entrada ARP ou ND do usuário não for atualizada após o número máximo de tentativas de detecção, o dispositivo faz logout do usuário.

• Sem autenticação: Este método confia em todos os usuários e não realiza autenticação. Por motivos de segurança, não utilize este método.
• Autenticação Local: O dispositivo autentica os usuários com base nas informações do usuário configuradas localmente, incluindo nomes de usuário, senhas e atributos. A autenticação local permite alta velocidade e baixo custo, mas a quantidade de informações que pode ser armazenada é limitada pelo espaço de armazenamento.
• Autenticação Remota: O dispositivo trabalha com um servidor RADIUS remoto ou servidor TACACS para autenticar usuários. O servidor gerencia as informações do usuário de maneira centralizada. A autenticação remota fornece serviços de autenticação de alta capacidade, confiáveis e centralizados para vários dispositivos. Você pode configurar métodos de backup a serem usados quando o servidor remoto não estiver disponível.

• Sem autorização: O dispositivo não realiza troca de autorização. As seguintes informações padrão de autorização se aplicam após os usuários passarem pela autenticação:
  • Usuários não logados podem acessar a rede.
  • Usuários FTP, SFTP e SCP têm o diretório raiz do dispositivo definido como o diretório de trabalho. No entanto, os usuários não têm permissão para acessar o diretório raiz.
  • Outros usuários logados obtêm a função de usuário padrão.
• Autorização Local: O dispositivo realiza a autorização de acordo com os atributos do usuário configurados localmente.
• Autorização Remota: O dispositivo trabalha com um servidor RADIUS remoto ou servidor TACACS para autorizar usuários. A autorização RADIUS está vinculada à autenticação RADIUS. A autorização RADIUS só pode funcionar depois que a autenticação RADIUS for bem-sucedida, e as informações de autorização estão incluídas no pacote Access-Accept. A autorização TACACS é independente da autenticação TACACS, e as informações de autorização estão incluídas na resposta.

• Sem contabilidade: O dispositivo não realiza contabilidade para os usuários.
• Contabilidade Local: A contabilidade local é implementada no dispositivo. Ela conta e controla o número de usuários simultâneos que usam a mesma conta de usuário local, mas não fornece estatísticas para cobrança.
• Contabilidade Remota: O dispositivo trabalha com um servidor RADIUS remoto ou servidor TACACS para contabilidade. Você pode configurar métodos de backup a serem usados quando o servidor remoto não estiver disponível.

• LAN: Os usuários da LAN devem passar pela autenticação 802.1X para se conectar online.
• Login: Os usuários de login incluem Telnet, FTP e usuários de terminal que fazem login no dispositivo. Os usuários de terminal podem acessar através de uma porta de console.
• Portal: Usuários de portal.

Em um cenário de rede com vários ISPs, o dispositivo pode se conectar a usuários de diferentes ISPs. O dispositivo suporta vários domínios ISP, incluindo um domínio ISP definido pelo sistema chamado "system". Um dos domínios ISP é o domínio padrão. Se um usuário não fornecer um nome de domínio ISP para autenticação, o dispositivo considera que o usuário pertence ao domínio ISP padrão.

O dispositivo escolhe um domínio de autenticação para cada usuário na seguinte ordem:

1. O domínio de autenticação especificado para o módulo de acesso (por exemplo, 802.1X).
2. O domínio ISP no nome de usuário.
3. O domínio ISP padrão do dispositivo.

• Accounting-on: Esse recurso permite que o dispositivo envie automaticamente um pacote "accounting-on" para o servidor RADIUS após uma reinicialização. Após receber o pacote "accounting-on", o servidor RADIUS desconecta todos os usuários online para que possam fazer login novamente por meio do dispositivo. Sem esse recurso, os usuários não podem fazer login novamente após a reinicialização, porque o servidor RADIUS os considera como "online". É possível configurar o intervalo no qual o dispositivo aguarda para reenviar o pacote "accounting-on" e o número máximo de tentativas. O servidor RADIUS deve ser executado no IMC para desconectar corretamente os usuários quando um cartão é reiniciado no dispositivo distribuído ao qual os usuários estão conectados.
• Controle de Sessão: Um servidor RADIUS em execução no IMC pode usar pacotes de controle de sessão para informar solicitações de desconexão ou alteração de autorização dinâmica. Ative o controle de sessão no dispositivo para receber pacotes de controle de sessão RADIUS na porta UDP 1812.

• O Equipamento de Fonte de Energia (PSE) fornece energia elétrica a Dispositivos de Alimentação (PDs) por meio da tecnologia PoE.

• A potência garantida restante é a máxima potência do PSE menos a potência para PIs críticos em PoE.

• A potência máxima do PSE é a máxima que ele pode fornecer a todos os PDs.

• O Power Injector (PI) fornece energia a dispositivos não-PoE em uma rede.

• A potência máxima do PI é o máximo que ele pode fornecer a todos os PDs. Quando atingida, o PI não fornece mais energia.

• O gerenciamento de energia do PI permite ao PSE realizar o gerenciamento de energia baseado na prioridade do PI.

• Os nós proprietários e nós vizinhos bloqueiam e desbloqueiam portas no RPL para evitar loops e comutar tráfego.
• Um RPL conecta um nó proprietário a um nó vizinho.
• Os nós de interconexão conectam diferentes anéis. Eles residem em subanéis e encaminham pacotes de serviço, mas não pacotes de protocolo.
• Os nós normais encaminham tanto pacotes de serviço quanto pacotes de protocolo.

• Porta RPL - Porta em um link RPL.
• Porta de Interconexão - Porta que conecta um subanel a um anel principal.
• Porta Normal - Tipo padrão de porta que encaminha tanto pacotes de serviço quanto pacotes de protocolo.

• VLAN de Controle - Transporta pacotes de protocolo ERPS. Cada instância ERPS tem sua própria VLAN de controle.
• VLAN Protegida - Transporta pacotes de dados. Cada instância ERPS tem sua própria VLAN protegida.

• Anel principal e subanel.
• VLAN de controle.
• Nó mestre, nó de trânsito, nó de borda e nó de borda assistente.
• Porta principal, porta secundária, porta comum e porta de borda.

• Uma VLAN de controle principal, que é a VLAN de controle para o anel principal.
• Uma VLAN de controle secundária, que é a VLAN de controle para subanéis.

• Nó mestre - Cada anel tem apenas um nó mestre. O nó mestre inicia o mecanismo de pesquisa e determina as operações a serem realizadas após uma mudança de topologia.
• Nó de trânsito - No anel principal, os nós de trânsito se referem a todos os nós, exceto o nó mestre. No subanel, os nós de trânsito se referem a todos os nós, exceto o nó mestre e os nós onde o anel principal se interconecta com o subanel. Um nó de trânsito monitora o estado de suas conexões diretas do RRPP e notifica o nó mestre das mudanças de estado da conexão, se houver. Com base nas mudanças de estado da conexão, o nód mestre determina as operações a serem realizadas.
• Nó de borda - Um nó especial que reside tanto no anel principal quanto em um subanel ao mesmo tempo. Um nó de borda age como nó mestre ou nó de trânsito no anel principal e como nó de borda no subanel.
• Nó de borda assistente - Um nó especial que reside tanto no anel principal quanto em um subanel ao mesmo tempo. Um nó de borda assistente age como nó mestre ou nó de trânsito no anel principal e como nó de borda assistente no subanel. Esse nó trabalha em conjunto com o nó de borda para detectar a integridade do anel principal e executar a proteção contra loops.

• A porta principal e a porta secundária são projetadas para desempenhar o papel de envio e recebimento de pacotes Hello, respectivamente.
• Quando um anel RRPP está no estado de Saúde, a porta secundária nega logicamente as VLANs protegidas e permite apenas os pacotes das VLANs de controle.
• Quando um anel RRPP está no estado de Desconexão, a porta secundária encaminha os pacotes das VLANs protegidas.

• O IPv4 VRRPv3 e o IPv6 VRRPv3 não suportam autenticação de pacotes VRRP. O modo de autenticação especificado ao adicionar o grupo VRRP não tem efeito. Por padrão, o dispositivo suporta o VRRPv3.
• Você pode configurar diferentes modos de autenticação e chaves de autenticação para grupos VRRP em uma interface. No entanto, os membros do mesmo grupo VRRP devem usar o mesmo modo de autenticação e chave de autenticação.

• Endereço IP não utilizado na sub-rede onde o grupo VRRP reside.
• Endereço IP de uma interface em um roteador no grupo VRRP. Nesse caso, o roteador é chamado de proprietário do endereço IP. Um grupo VRRP pode ter apenas um proprietário de endereço IP.

• Modo não preemptivo - O roteador mestre age como mestre enquanto estiver operando corretamente, mesmo se um roteador de backup receber posteriormente uma prioridade mais alta. O modo não preemptivo ajuda a evitar trocas frequentes entre os roteadores mestre e de backup.
• Modo preemptivo - Um backup inicia uma nova eleição de mestre e assume o controle como mestre quando detecta que tem uma prioridade mais alta que o mestre atual. O modo preemptivo garante que o roteador com a maior prioridade em um grupo VRRP sempre atue como mestre.

Você pode configurar o temporizador de atraso de preempção do VRRP para os seguintes fins:

• Avoid trocas frequentes de estado entre membros em um grupo VRRP.
• Fornecer aos backups tempo suficiente para coletar informações (como informações de roteamento).

• Autenticação simples: O remetente preenche uma chave de autenticação no pacote VRRP, e o receptor compara a chave de autenticação recebida com sua chave de autenticação local. Se as duas chaves de autenticação coincidirem, o pacote VRRP recebido é legítimo. Caso contrário, o pacote recebido é ilegítimo e é descartado.
• Autenticação MD5: O remetente calcula um resumo para o pacote VRRP usando a chave de autenticação e o algoritmo MD5, e salva o resultado no pacote. O receptor realiza a mesma operação com a chave de autenticação e o algoritmo MD5 e compara o resultado com o conteúdo no cabeçalho de autenticação. Se os resultados coincidirem, o pacote VRRP recebido é legítimo. Caso contrário, o pacote recebido é ilegítimo e é descartado.
• Em uma rede segura, você pode optar por não autenticar pacotes VRRP.

1. Configure a agregação de link Ethernet no Switch A:
1. A partir da Menu de navegação, selecione Rede > Interfaces > Agregação de Link.
2. Configure um grupo de agregação de camada 2 no Switch A da seguinte forma:
• Configure o modo de agregação como estático.
• Atribua portas ao grupo de agregação.
2. Configure a VLAN no Switch A:
   1. A partir da Menu de navegação, selecione Rede > Links > VLAN.
   2. Crie a VLAN 10.
   3. Acesse a página de detalhes da VLAN 10 para realizar as seguintes tarefas:
      • Adicione a porta que se conecta ao Host A à lista de portas sem marcação.
      • Adicione as portas GigabitEthernet 1/0/1 a GigabitEthernet 1/0/3 à lista de portas marcadas.
      • Configure o Switch B da mesma forma que o Switch A está configurado. (Detalhes não mostrados.)

1. A partir da Menu de navegação, selecione Rede > Interfaces > Isolamento de Porta.
2. Crie um grupo de isolamento.
3. Acesse a página de detalhes do grupo de isolamento.
4. Atribua as portas GigabitEthernet 1/0/1 a GigabitEthernet 1/0/3 ao grupo de isolamento.

• Host A e Host C pertencem ao Departamento A. A VLAN 100 é atribuída ao Departamento A.
• Host B e Host D pertencem ao Departamento B. A VLAN 200 é atribuída ao Departamento B.
• No Switch A e Switch B, o tipo de link da GigabitEthernet 1/0/1 é acesso, o tipo de link da GigabitEthernet 1/0/2 é híbrido, e o tipo de link da GigabitEthernet 1/0/3 é trunk.

1. Configure o Switch A:

# Configure as configurações de tipo de link para as portas:

1. A partir da Menu de navegação, selecione Rede > Interfaces > Interfaces.
2. Acesse a página de detalhes da GigabitEthernet 1/0/1 e defina o tipo de link da porta como acesso na área de VLAN.
3. Acesse a página de detalhes da GigabitEthernet 1/0/2 e defina o tipo de link da porta como híbrido e defina o PVID como 200 na área de VLAN.
4. Acesse a página de detalhes da GigabitEthernet 1/0/3 e defina o tipo de link da porta como trunk na área de VLAN.

# Configure as configurações de VLAN para as portas:

1. A partir da Menu de navegação, selecione Rede > Links > VLAN.
2. Crie a VLAN 100 e a VLAN 200 no Switch A.
3. Acesse a página de detalhes da VLAN 100 para realizar as seguintes tarefas:

Adicione a GigabitEthernet 1/0/1 à lista de portas sem marcação (Host A não pode reconhecer tags VLAN).

Adicione a GigabitEthernet 1/0/3 à lista de portas marcadas (Switch B precisa identificar as tags VLAN dos pacotes).

• Acesse a página de detalhes da VLAN 200 para realizar as seguintes tarefas:

Adicione a GigabitEthernet 1/0/2 à lista de portas sem marcação (Host B não pode reconhecer tags VLAN).

Adicione a GigabitEthernet 1/0/3 à lista de portas marcadas (Switch B precisa identificar as tags VLAN dos pacotes).

• Configure o Switch B da mesma forma que o Switch A está configurado. (Detalhes não mostrados.)

1. Verifique se Host A e Host C conseguem fazer ping um no outro, mas nenhum deles pode fazer ping em Host B ou Host D.
2. Verifique se Host B e Host D podem fazer ping um no outro, mas nenhum deles pode fazer ping em Host A ou Host C.

• Crie a VLAN 2. Esta VLAN será usada como uma Voice Vlan.
• Adicione a GigabitEthernet 1/0/1 à VLAN 2.
• Adicione o endereço OUI do telefone IP A à lista OUI do Switch A.

1. A partir da Menu de navegação, selecione Rede > Interfaces.
2. Defina o PVID da GigabitEthernet 1/0/1 como 2.
3. A partir da Menu de navegação, selecione Rede > Links > VLAN.
1. Crie a VLAN 2.
2. Acesse a página de detalhes da VLAN 2 e adicione a GigabitEthernet 1/0/1 à lista de portas não marcadas.
4. A partir da Menu de navegação, selecione Rede > Links > Voice Vlan.
1. Acesse a página para selecionar portas, atribua a GigabitEthernet 1/0/1 à VLAN 2 e defina o modo da porta como manual.
2. Acesse a página de configurações avançadas e defina o modo como segurança.
3. Acesse a página para adicionar um endereço OUI e adicione o endereço OUI 0011-2200-0000, a máscara ffff-ff00-0000 e a descrição Endereço OUI do telefone IP A.

1. Veja o resumo de OUI para verificar se o endereço OUI 0011-2200-0000 foi adicionado.
2. Veja o resumo da porta para verificar se a GigabitEthernet 1/0/1 foi atribuída à Voice Vlan 2.

• Host A com endereço MAC 000f-e235-dc71 está conectado à GigabitEthernet 1/0/1 do switch e pertence à VLAN 1.
• Host B com endereço MAC 000f-e235-abcd, que se comportou de forma suspeita na rede, também pertence à VLAN 1.
• Configure a tabela de endereços MAC no switch da seguinte forma:

1. A partir da Menu de navegação, selecione Rede > Links > MAC.
1. Adicione uma entrada de endereço MAC estático para o endereço MAC 000f-e235-dc71. A interface de saída é GigabitEthernet 1/0/1 e a VLAN é 1.
2. Adicione uma entrada de endereço MAC blackhole para o endereço MAC 000f-e235-abcd. A VLAN é 1.
3. Acesse a página de configurações avançadas de MAC e defina o temporizador de envelhecimento de MAC como 500 segundos.

1. Verifique se as entradas de endereços MAC criadas existem na tabela de endereços MAC e se o Host B não pode fazer ping em Host A.

1. Configure o Dispositivo A (servidor NTP):

Em Rede > Serviço > NTP:

1. Habilite o serviço NTP.

1. Especifique o endereço IP do relógio local como 127.127.1.0.

1. Configure o nível de estrato do relógio local como 2.

Em Dispositivo > Manutenção > Configurações:

1. Acesse a página de data e hora para selecionar a sincronização automática com uma fonte de tempo confiável e, em seguida, selecione o NTP como o protocolo de tempo.

1. Especifique o endereço IP do Dispositivo A como 1.0.1.11 e configure o Dispositivo B para operar no modo servidor.

Verificando a Configuração

Verifique se o Dispositivo B sincronizou com o Dispositivo A e se o nível de estrato do relógio é 3 no Dispositivo B e 2 no Dispositivo A.

Exemplo de Configuração do SNMP

Requisitos de Rede

Conforme mostrado na Figura 38, o NMS (1.1.1.2/24) usa SNMPv2c para gerenciar o agente SNMP (1.1.1.1/24), e o agente envia automaticamente notificações para relatar eventos ao NMS.

Figura 38 Diagrama de Rede

Procedimento de Configuração

1. Configure o dispositivo:

Em Rede > Serviço > SNMP:

1. Clique em Habilitar SNMP para ativar o serviço SNMP.

1. Especifique SNMPv2c.

1. Crie uma comunidade de leitura e escrita chamada "readandwrite", que pode acessar todos os nós na visualização MIB padrão. Configure uma ACL básica IPv4 para permitir apenas que o NMS SNMPv2c em 1.1.1.2/24 use o nome da comunidade "readandwrite" para acessar o dispositivo.

1. Habilite armadilhas e defina o host de destino como 1.1.1.2, com a string de segurança "readandwrite" e o modelo de segurança v2c.

Especifique SNMPv2c.

1. Crie a comunidade de leitura e escrita "readandwrite".

1. Configure políticas de QoS:

Em QoS > QoS > Política de QoS:

1. Aplique uma política de QoS ao tráfego de entrada de GigabitEthernet 1/0/2.

1. Acesse a página de detalhes da política de QoS para modificar a política de QoS aplicada da seguinte forma:

1. Crie uma ACL IPv4 2000 e adicione uma regra para permitir pacotes com endereço IP de origem 192.168.1.0 e máscara 0.0.0.255.

1. Configure a ACL como critério de correspondência de uma classe e especifique o comportamento associado para marcar os pacotes correspondentes com prioridade 802.1p 0.

1. Aplique uma política de QoS ao tráfego de entrada de GigabitEthernet 1/0/3.

1. Acesse a página de detalhes da política de QoS para modificar a política de QoS aplicada da seguinte forma:

1. Crie uma ACL IPv4 2002 e adicione uma regra para permitir pacotes com endereço IP de origem 192.168.2.0 e máscara 0.0.0.255.

1. Configure a ACL como critério de correspondência de uma classe e especifique o comportamento associado para marcar os pacotes correspondentes com prioridade 802.1p 1.

1. Aplique uma política de QoS ao tráfego de entrada de GigabitEthernet 1/0/4.

1. Acesse a página de detalhes da política de QoS para modificar a política de QoS aplicada da seguinte forma:

1. Crie uma ACL IPv4 2003 e adicione uma regra para permitir pacotes com endereço IP de origem 192.168.1.0 e máscara 0.0.0.255.

1. Configure a ACL como critério de correspondência de uma classe e especifique o comportamento associado para marcar os pacotes correspondentes com prioridade 802.1p 2.

Em QoS > QoS > Mapeamento de Prioridade:

1. Configure GigabitEthernet 1/0/1, GigabitEthernet 1/0/2, GigabitEthernet 1/0/3 e GigabitEthernet 1/0/4 para confiar na prioridade 802.1p.

1. Configure o mapa de prioridade 802.1p para mapear os valores de prioridade 802.1p 0, 1 e 2 para valores de precedência local 0, 1 e 2, respectivamente.

Em QoS > QoS > Escalonamento de Hardware:

1. Acesse a página de detalhes de GigabitEthernet 1/0/1 para realizar as seguintes tarefas:

1. Configure o algoritmo de escalonamento como WRR (contagem de bytes).

1. Modifique as contagens de bytes das filas 0, 1 e 2 para 2, 1 e 1, respectivamente.

Em QoS > QoS > Limite de Taxa:

1. Defina o CIR para 15360 kbps para o tráfego de entrada de GigabitEthernet 1/0/1.

• Permitir o acesso do escritório da Presidência a qualquer momento ao servidor de banco de dados financeiro.
• Permitir o acesso do departamento Financeiro ao servidor de banco de dados apenas durante o horário de trabalho (das 8:00 às 18:00) nos dias úteis.
• Negar o acesso de qualquer outro departamento ao servidor de banco de dados.

1. Na Menu de navegação, selecione Segurança > Filtro de Pacotes > Filtro de Pacotes.
2. Crie uma política de filtro de pacotes:
   • Selecione a VLAN-interface 10.
   • Selecione a direção da aplicação de saída.
   • Selecione o tipo de ACL IPv4 para o filtro de pacotes.
3. Crie uma ACL IPv4 avançada e configure as seguintes regras na ordem em que são descritas:

1. Realize um ping no servidor de banco de dados a partir de diferentes departamentos para verificar os seguintes itens:

   • Você pode acessar o servidor a partir do escritório da Presidência a qualquer momento.
   • Você pode acessar o servidor a partir do departamento Financeiro durante o horário de trabalho.
   • Você não pode acessar o servidor a partir do departamento de Marketing a qualquer momento.

2. Acesse a interface da web das regras da ACL e verifique se as regras da ACL estão ativas.

• A GigabitEthernet 1/0/2 do dispositivo A permite apenas pacotes IP do Host C.
• A GigabitEthernet 1/0/1 do dispositivo A permite apenas pacotes IP do Host A.
• A GigabitEthernet 1/0/2 do dispositivo B permite apenas pacotes IP do Host A.
• A GigabitEthernet 1/0/1 do dispositivo B permite apenas pacotes IP do Host B.

1. Configure os endereços IP para as interfaces. (Detalhes não mostrados.)

2. No painel de navegação, selecione Segurança > Filtro de Pacotes > Proteção de Origem IP.

3. Adicione uma entrada de proteção de origem IP para o Host A.

   A entrada contém a interface GigabitEthernet 1/0/1, o endereço IP 192.168.0.1 e o endereço MAC 00-01-02-03-04-06.

4. Adicione uma entrada de proteção de origem IP para o Host C.

   A entrada contém a interface GigabitEthernet 1/0/2, o endereço IP 192.168.0.3 e o endereço MAC 00-01-02-03-04-05.

1. Configure os endereços IP para as interfaces. (Detalhes não mostrados.)

2. No painel de navegação, selecione Segurança > Filtro de Pacotes > Proteção de Origem IP.

3. Adicione uma entrada de proteção de origem IP para o Host B.

   A entrada contém a interface GigabitEthernet 1/0/1, o endereço IP 192.168.0.2 e o endereço MAC 00-01-02-03-04-07.

4. Adicione uma entrada de proteção de origem IP para o Host A.

   A entrada contém a interface GigabitEthernet 1/0/2, o endereço IP 192.168.0.1 e o endereço MAC 00-01-02-03-04-06.

• Use o servidor RADIUS para realizar autenticação, autorização e contabilidade para os usuários 802.1X.
• Autentique todos os usuários 802.1X que acessam o switch através de GigabitEthernet 1/0/1 no domínio ISP dm1X.
• Use controle de acesso baseado em MAC na GigabitEthernet 1/0/1 para autenticar separadamente todos os usuários 802.1X na porta.
• Exclua nomes de domínio dos nomes de usuário enviados para o servidor RADIUS.
• Use "name" como as chaves de autenticação e contabilidade para comunicação segura entre o switch e o servidor RADIUS.
• Use as portas 1812 e 1813 para autenticação e contabilidade, respectivamente.

1. No painel de navegação, selecione Segurança > Autenticação > RADIUS.

2. Adicione o esquema RADIUS 802.1X.

3. Configure o servidor de autenticação primário:

   • Defina o endereço IP como 10.1.1.1.
   • Defina a porta de autenticação como 1812.
   • Defina a chave compartilhada como "name".
   • Defina o estado do servidor como Ativo.

4. Configure o servidor de contabilidade primário:

   • Defina o endereço IP como 10.1.1.1.
   • Defina a porta de contabilidade como 1813.
   • Defina a chave compartilhada como "name".
   • Defina o estado do servidor como Ativo.

5. Configure o switch para não incluir nomes de domínio nos nomes de usuário enviados para o servidor RADIUS.

3. Configure um domínio ISP no switch:

1. No painel de navegação, selecione Segurança > Autenticação > Domínios ISP.

2. Adicione o domínio ISP dm1X e defina o estado do domínio como Ativo.

3. Defina o serviço de acesso como acesso LAN.

4. Configure o domínio ISP para usar o esquema RADIUS 802.1X para autenticação, autorização e contabilidade de usuários LAN.

4. Configure o 802.1X no switch:

1. No painel de navegação, selecione Segurança > Controle de Acesso > 802.1X.

2. Habilite o 802.1X globalmente.

3. Habilite o 802.1X na GigabitEthernet 1/0/1 e defina o método de controle de acesso como baseado em MAC.

4. Na página de configurações avançadas para a GigabitEthernet 1/0/1, defina o estado de autorização de porta como Automático e defina o domínio ISP obrigatório como dm1X.

5. Configure o servidor RADIUS:

1. Adicione uma conta de usuário no servidor. (Detalhes não mostrados.)

2. Configure as configurações de autenticação, autorização e contabilidade. (Detalhes não mostrados.)

• Realizar autenticação 802.1X local para controlar o acesso à rede dos usuários na GigabitEthernet 1/0/1.
• Autenticar os usuários no domínio ISP "abc".
• Especificar controle de acesso baseado em porta na GigabitEthernet 1/0/1. Após um usuário passar na autenticação na porta, todos os usuários subsequentes podem acessar a rede sem autenticação.

1. 1. Configure os endereços IP para as interfaces, conforme mostrado na Figura 43. (Detalhes não mostrados.)

2. 2. Configure a conta de usuário local:

   1. No painel de navegação, selecione Segurança > Autenticação > Usuários Locais.

   2. Adicione a conta de usuário "dotuser" e defina a senha como "12345".

   3. Defina o tipo de serviço como acesso LAN.

3. 3. Configure o domínio ISP:

   1. No painel de navegação, selecione Segurança > Autenticação > Domínios ISP.

   2. Adicione o domínio ISP "abc" e defina o estado como Ativo.

   3. Defina o serviço de acesso como acesso LAN.

   4. Configure o domínio ISP para usar o método local para autenticação e autorização de usuários LAN, e não realizar contabilidade para usuários LAN.

4. 4. Configure o 802.1X:

   1. No painel de navegação, selecione Segurança > Controle de Acesso > 802.1X.

   2. Habilite o 802.1X globalmente.

   3. Habilite o 802.1X na GigabitEthernet 1/0/1 e defina o método de controle de acesso como baseado em porta.

   4. Na página de configurações avançadas para GigabitEthernet 1/0/1, defina o estado de autorização da porta como Automático e defina o domínio ISP obrigatório como "abc".

• Use o servidor RADIUS para realizar autenticação, autorização e contabilidade para todos os usuários.
• Autentique todos os usuários no domínio ISP "macauth".
• Use uma conta com nome de usuário "aaa" e senha "qaz123wdc" para identificar todos os usuários.
• Exclua os nomes de domínio dos nomes de usuário enviados para o servidor RADIUS.
• Use "name" como as chaves compartilhadas de autenticação e contabilidade para comunicação segura RADIUS entre o switch e o servidor RADIUS.
• Use as portas 1812 e 1813 para autenticação e contabilidade, respectivamente.

1. No painel de navegação, selecione Segurança > Autenticação > RADIUS.

2. Adicione o esquema RADIUS "macauth".

3. Configure o servidor de autenticação primário:

   • Defina o endereço IP como 10.1.1.1.

   • Defina o número da porta de autenticação como 1812.

   • Defina a chave compartilhada como "name".

   • Defina o estado do servidor como Ativo.

4. Configure o servidor de contabilidade primário:

   • Defina o endereço IP como 10.1.1.1.

   • Defina o número da porta de contabilidade como 1813.

   • Defina a chave compartilhada como "name".

   • Defina o estado do servidor como Ativo.

5. Configure o switch para não incluir os nomes de domínio nos nomes de usuário enviados para o servidor RADIUS.

3. Configure um domínio ISP no switch:

1. No painel de navegação, selecione Segurança > Autenticação > Domínios ISP.

2. Adicione o domínio ISP "macauth" e defina o estado do domínio como Ativo.

3. Defina o serviço de acesso como acesso LAN.

4. Configure o domínio ISP para usar o esquema RADIUS "macauth" para autenticação, autorização e contabilidade de usuários LAN.

4. Configure a autenticação MAC no switch:

1. No painel de navegação, selecione Segurança > Controle de Acesso > Autenticação MAC.

2. Habilite a autenticação MAC globalmente.

3. Habilite a autenticação MAC na GigabitEthernet 1/0/1.

4. Na página de configurações avançadas, configure os seguintes parâmetros:

   • Defina que todos os usuários usem o mesmo nome de usuário e senha.

   • Configure o nome de usuário como "aaa" e a senha como "qaz123wdc".

   • Especifique o domínio de autenticação como "macauth".

• Use o servidor RADIUS para autenticação, autorização e contabilidade de usuários.
• Use "name" como as chaves compartilhadas de autenticação e contabilidade para comunicação RADIUS segura entre o switch e o servidor RADIUS.
• Use as portas 1812 e 1813 para autenticação e contabilidade, respectivamente.
• Autentique todos os usuários 802.1X no domínio ISP "portsec" e exclua os nomes de domínio dos nomes de usuário enviados ao servidor RADIUS.
• Permita que apenas um usuário 802.1X e um usuário cujo OUI corresponde a um dos seguintes OUIs se conectem na porta GigabitEthernet 1/0/1:
• 1234-0100-1111
• 1234-0200-1111
• 1234-0300-1111
• 1234-0400-1111
• 1234-0500-1111

1. Configure os endereços de IP para as interfaces, conforme mostrado na Figura 45. (Detalhes não mostrados.)
2. Configure um esquema RADIUS no switch:
   1. A partir da Menu de navegação, selecione Segurança > Autenticação > RADIUS.
   2. Adicione o esquema RADIUS "portsec".
   3. Configure o servidor de autenticação primário:
      • Defina o endereço IP como 10.1.1.1.
      • Defina a porta de autenticação como 1812.
      • Defina a chave compartilhada como "name".
      • Defina o estado do servidor como Ativo.
   4. Configure o servidor de contabilidade primário:
      • Defina o endereço IP como 10.1.1.1.
      • Defina a porta de contabilidade como 1813.
      • Defina a chave compartilhada como "name".
      • Defina o estado do servidor como Ativo.
   5. Configure o switch para não incluir nomes de domínio nos nomes de usuário enviados ao servidor RADIUS.
3. Configure um domínio ISP no switch:
   1. A partir da Menu de navegação, selecione Segurança > Autenticação > Domínios ISP.
   2. Adicione o domínio ISP "portsec" e defina o estado do domínio como Ativo.
   3. Defina o serviço de acesso como acesso LAN.
   4. Configure o domínio ISP para usar o esquema RADIUS "portsec" para autenticação, autorização e contabilidade de usuários LAN.
4. Configure a segurança da porta no switch:
   1. A partir da Menu de navegação, selecione Segurança > Controle de Acesso > Segurança de Porta.
   2. Habilite a segurança da porta.
   3. Defina o modo de segurança da porta como "userLoginWithOUI" para GigabitEthernet 1/0/1.
   4. Na guia 802.1X das configurações avançadas para GigabitEthernet 1/0/1, defina o domínio obrigatório 802.1X como "portsec".
   5. Nas configurações avançadas de segurança de porta, adicione cinco valores de OUI à lista de OUI. Os valores de OUI incluem 1234-0100-1111, 1234-0200-1111, 1234-0300-1111, 1234-0400-1111 e 1234-0500-1111.
5. Configure o servidor RADIUS:
   1. Adicione uma conta de usuário no servidor. (Detalhes não mostrados.)
   2. Configure as configurações de autenticação, autorização e contabilidade. (Detalhes não mostrados.)

1. A partir da Menu de navegação, selecione Segurança > Autenticação > RADIUS.
2. Verifique a configuração do esquema RADIUS "portsec".
3. A partir da Menu de navegação, selecione Segurança > Autenticação > Domínios ISP.
4. Verifique a configuração do domínio ISP "portsec".
5. Use a conta de usuário configurada para passar pela autenticação.
6. A partir da Menu de navegação, selecione Segurança > Controle de Acesso > Segurança de Porta.
7. Verifique que o número de usuários online não é 0 na GigabitEthernet 1/0/1.

Procedimento de Configuração

1. Configure o servidor de portal. (Detalhes não mostrados.)
2. Configure um esquema RADIUS no switch:
   1. A partir da Menu de navegação, selecione Segurança > Autenticação > RADIUS.
   2. Adicione o esquema RADIUS "rs1".
   3. Configure o servidor de autenticação primário:
      • Defina o endereço IP como 192.168.0.112.
      • Defina a porta de autenticação como 1812.
      • Defina a chave compartilhada como "radius".
      • Defina o estado do servidor como Ativo.
   4. Configure o servidor de contabilidade primário:
      • Defina o endereço IP como 192.168.0.112.
      • Defina a porta de contabilidade como 1813.
      • Defina a chave compartilhada como "radius".
      • Defina o estado do servidor como Ativo.
   5. Configure o switch para não incluir nomes de domínio nos nomes de usuário enviados ao servidor RADIUS.
   6. Clique no ícone de configurações avançadas na página RADIUS.
   7. Habilite o recurso de controle de sessão.
3. Configure um domínio ISP no switch:
   1. A partir da Menu de navegação, selecione Segurança > Autenticação > Domínios ISP.
   2. Adicione o domínio ISP "dm1" e defina o estado do domínio como Ativo.
   3. Defina o serviço de acesso como Portal.
   4. Configure o domínio ISP para usar o esquema RADIUS "rs1" para autenticação, autorização e contabilidade de usuários de portal.
   5. Clique no ícone de configurações avançadas na página de Domínio ISP.
   6. Especifique "dm1" como o domínio ISP padrão. Se um usuário inserir o nome de usuário sem o nome de domínio ISP no login, os métodos de autenticação e contabilidade do domínio padrão são usados para o usuário.
4. Configure a VLAN e a interface de VLAN:
   1. A partir da Menu de navegação, selecione Rede > Links > VLAN.
   2. Crie a VLAN 100.
   3. Abra a página de detalhes para a VLAN 100.
   4. Crie a interface de VLAN 100 e atribua o endereço IP 2.2.2.1 a ela.
5. Configure a autenticação de portal no switch:
   1. A partir da Menu de navegação, selecione Segurança > Controle de Acesso > Portal.
   2. Adicione um servidor de autenticação de portal:
   • Especifique o nome do servidor como "newpt".
   • Especifique o endereço IP como 192.168.0.111.
   • Especifique a chave compartilhada como "portal".
   • Defina a porta de escuta do servidor como 50100.
   3. Adicione um servidor Web de portal:
   • Especifique o nome do servidor como "newpt".
   • Especifique a URL.
   • A URL deve ser a mesma que a URL do servidor Web de portal usada na rede. Neste exemplo, utilizamos http://192.168.0.111:8080/portal.
   4. Adicione uma política de interface:
   • Selecione a interface VLAN-interface 100.
   • Na área de configuração IPv4, habilite a autenticação de portal e selecione o método Direto.
   • Selecione o servidor Web de portal "newpt".
   • Configure o endereço BAS-IP como 2.2.2.1.
6. Configure o servidor RADIUS:
1. Adicione uma conta de usuário no servidor. (Detalhes não mostrados.)
2. Configure as configurações de autenticação, autorização e contabilidade. (Detalhes não mostrados.)

1. A partir da Menu de navegação, selecione Segurança > Autenticação > RADIUS.
2. Verifique a configuração do esquema RADIUS "rs1".
3. A partir da Menu de navegação, selecione Segurança > Autenticação > Domínios ISP.
4. Verifique a configuração do domínio ISP "dm1".
5. Use a conta de usuário configurada para passar pela autenticação de portal.
6. A partir da Menu de navegação, selecione Segurança > Controle de Acesso > Portal.
7. Verifique que o número de usuários online não é 0 na VLAN-interface 100.

1. Configure o servidor de portal. (Detalhes não mostrados.)
2. Configure um esquema RADIUS no Switch A:
   1. A partir da Menu de navegação, selecione Segurança > Autenticação > RADIUS.
   2. Adicione o esquema RADIUS "rs1".
   3. Configure o servidor de autenticação primário:
      • Defina o endereço IP como 192.168.0.112.
      • Defina a porta de autenticação como 1812.
      • Defina a chave compartilhada como "radius".
      • Defina o estado do servidor como Ativo.
   4. Configure o servidor de contabilidade primário:
      • Defina o endereço IP como 192.168.0.112.
      • Defina a porta de contabilidade como 1813.
      • Defina a chave compartilhada como "radius".
      • Defina o estado do servidor como Ativo.
   5. Configure o switch para não incluir nomes de domínio nos nomes de usuário enviados ao servidor RADIUS.
   6. Clique no ícone de configurações avançadas na página RADIUS.
   7. Habilite o recurso de controle de sessão.
3. Configure um domínio ISP no Switch A:
   1. A partir da Menu de navegação, selecione Segurança > Autenticação > Domínios ISP.
   2. Adicione o domínio ISP "dm1" e defina o estado do domínio como Ativo.
   3. Defina o serviço de acesso como Portal.
   4. Configure o domínio ISP para usar o esquema RADIUS "rs1" para autenticação, autorização e contabilidade de usuários de portal.
   5. Clique no ícone de configurações avançadas na página de Domínio ISP.
   6. Especifique "dm1" como o domínio ISP padrão. Se um usuário inserir o nome de usuário sem o nome de domínio ISP no login, os métodos de autenticação e contabilidade do domínio padrão são usados para o usuário.
4. Configure a VLAN e a interface de VLAN no Switch A:
   1. A partir da Menu de navegação, selecione Rede > Links > VLAN.
   2. Crie a VLAN 4.
   3. Abra a página de detalhes para a VLAN 4.
   4. Crie a interface de VLAN 4 e atribua o endereço IP 20.20.20.1 a ela.
5. Configure a autenticação de portal no Switch A:
   1. A partir da Menu de navegação, selecione Segurança > Controle de Acesso > Portal.
   2. Adicione um servidor de autenticação de portal:
   • Especifique o nome do servidor como "newpt".
   • Especifique o endereço IP como 192.168.0.111.
   • Especifique a chave compartilhada como "portal".
   • Defina a porta de escuta do servidor como 50100.
   3. Adicione um servidor Web de portal:
   • Especifique o nome do servidor como "newpt".
   • Especifique a URL.
   • A URL deve ser a mesma que a URL do servidor Web de portal usada na rede. Neste exemplo, utilizamos http://192.168.0.111:8080/portal.
   4. Adicione uma política de interface:
   • Selecione a interface VLAN-interface 4.
   • Na área de configuração IPv4, habilite a autenticação de portal e selecione o método de Camada 3.
   • Selecione o servidor Web de portal "newpt".
   • Configure o endereço BAS-IP como 20.20.20.1.
6. Configure o servidor RADIUS:
1. Adicione uma conta de usuário no servidor. (Detalhes não mostrados.)
2. Configure as configurações de autenticação, autorização e contabilidade. (Detalhes não mostrados.)

1. A partir da Menu de navegação, selecione Segurança > Autenticação > RADIUS.
2. Verifique a configuração do esquema RADIUS "rs1".
3. A partir da Menu de navegação, selecione Segurança > Autenticação > Domínios ISP.
4. Verifique a configuração do domínio ISP "dm1".
5. Use a conta de usuário configurada para passar pela autenticação de portal.
6. A partir da Menu de navegação, selecione Segurança > Controle de Acesso > Portal.
7. Verifique que o número de usuários online não é 0 na VLAN-interface 4.

1. Configure um esquema RADIUS no switch:
   1. A partir da Menu de navegação, selecione Segurança > Autenticação > RADIUS.
   2. Adicione o esquema RADIUS "rs1".
   3. Configure o servidor de autenticação primário:
      • Defina o endereço IP como 192.168.0.112.
      • Defina a porta de autenticação como 1812.
      • Defina a chave compartilhada como "radius".
      • Defina o estado do servidor como Ativo.
   4. Configure o servidor de contabilidade primário:
      • Defina o endereço IP como 192.168.0.112.
      • Defina a porta de contabilidade como 1813.
      • Defina a chave compartilhada como "radius".
      • Defina o estado do servidor como Ativo.
   5. Configure o switch para não incluir nomes de domínio nos nomes de usuário enviados ao servidor RADIUS.
   6. Clique no ícone de configurações avançadas na página RADIUS.
   7. Habilite o recurso de controle de sessão.
2. Configure um domínio ISP no switch:
   1. A partir da Menu de navegação, selecione Segurança > Autenticação > Domínios ISP.
   2. Adicione o domínio ISP "dm1" e defina o estado do domínio como Ativo.
   3. Defina o serviço de acesso como Portal.
   4. Configure o domínio ISP para usar o esquema RADIUS "rs1" para autenticação, autorização e contabilidade de usuários de portal.
   5. Clique no ícone de configurações avançadas na página de Domínio ISP.
   6. Especifique "dm1" como o domínio ISP padrão. Se um usuário inserir o nome de usuário sem o nome de domínio ISP no login, os métodos de autenticação e contabilidade do domínio padrão são usados para o usuário.
3. Configure a VLAN e a interface de VLAN no Switch A:
   1. A partir da Menu de navegação, selecione Rede > Links > VLAN.
   2. Crie a VLAN 100.
   3. Abra a página de detalhes para a VLAN 100.
   4. Crie a interface de VLAN 100 e atribua o endereço IP 2.2.2.1 a ela.
4. Configure a autenticação de portal no switch:
   1. A partir da Menu de navegação, selecione Segurança > Controle de Acesso > Portal.
   2. Adicione um servidor Web de portal:
   • Especifique o nome do servidor como "newpt".
   • Especifique a URL como http://2.2.2.1:2331/portal.
   • A URL pode ser o endereço IP da interface habilitada com autenticação de portal ou o endereço de uma interface de loopback diferente de 127.0.0.1.
   3. Adicione um servidor Web de portal local:
   • Selecione HTTP.
   • Selecione a página de logon padrão abc.zip.
   • O arquivo de página de logon padrão deve existir no diretório raiz do meio de armazenamento do switch.
   • Defina a porta TCP como 2331.
   4. Adicione uma política de interface:
   • Selecione a interface VLAN-interface 100.
   • Na área de configuração IPv4, habilite a autenticação de portal e selecione o método Direto.
   • Selecione o servidor Web de portal "newpt".
5. Configure o servidor RADIUS:
1. Adicione uma conta de usuário no servidor. (Detalhes não mostrados.)
2. Configure as configurações de autenticação, autorização e contabilidade. (Detalhes não mostrados.)

1. A partir da Menu de navegação, selecione Segurança > Autenticação > RADIUS.
2. Verifique a configuração do esquema RADIUS "rs1".
3. A partir da Menu de navegação, selecione Segurança > Autenticação > Domínios ISP.
4. Verifique a configuração do domínio ISP "dm1".
5. Use a conta de usuário configurada para passar pela autenticação de portal.
6. A partir da Menu de navegação, selecione Segurança > Controle de Acesso > Portal.
7. Verifique que o número de usuários online não é 0 na VLAN-interface 100.

Conforme mostrado na Figura 50, configure o PoE para atender aos seguintes requisitos:

• Habilitar o dispositivo para fornecer energia a telefones IP e ao AP (Access Point).
• Habilitar o dispositivo para fornecer energia a telefones IP em primeiro lugar quando ocorrer sobrecarga.
• Alocar ao AP uma potência máxima de 9000 miliwatts.

1. A partir da Menu de navegação, selecione PoE > PoE.
2. Habilite o PoE para GigabitEthernet 1/0/1 e GigabitEthernet 1/0/2, defina a prioridade de fornecimento de energia como crítica.
3. Habilite o PoE para GigabitEthernet 1/0/3 e defina a potência máxima de PoE para a interface como 9000 miliwatts.

• Desligamento inesperado ou reinicialização de dispositivos ou placas.
• Anomalias ou interrupção de serviços.
• Perda de dados, configurações ou arquivos importantes.
• Falha no login de usuários ou logoff inesperado.

1. A partir do painel de navegação, selecione Dispositivo > Virtualização > IRF.
2. Clique no ícone de ao lado de Configurações Básicas.
3. Clique no ícone Detalhes para um dispositivo membro IRF.
4. Altere o ID do membro do dispositivo IRF.

1. A partir do painel de navegação, selecione Dispositivo > Virtualização > IRF.
2. Clique no ícone de ao lado de Vínculos de Porta IRF.
3. Clique no ícone Detalhes para um dispositivo membro IRF.
4. Modifique as interfaces físicas IRF vinculadas a uma porta IRF.

1. A partir do painel de navegação, selecione Dispositivo > Virtualização > IRF.
2. Clique no ícone de ao lado de Configurações Avançadas.
3. Altere o ID de Domínio IRF.

1. A partir do painel de navegação, selecione Dispositivo > Virtualização > IRF.
2. Clique no ícone de ao lado de Configurações Avançadas.
3. Altere a configuração de Persistência da Ponte MAC do IRF.

1. A partir do painel de navegação, selecione Rede > Interfaces > Interfaces.
2. Selecione uma ou várias interfaces e clique em Padrão na parte inferior da página.

1. A partir do painel de navegação, selecione Rede > Interfaces > Interfaces.
2. Clique no ícone Detalhes para uma interface.
3. Desative a interface.

1. A partir do painel de navegação, selecione Rede > IP > ARP.
2. Exclua todas as entradas dinâmicas do dispositivo.

1. A partir do painel de navegação, selecione Rede > Roteamento > Roteamento Estático.
2. Clique no ícone próximo ao roteamento estático IPv4.
3. Exclua todas as rotas estáticas IPv4.

1. A partir do painel de navegação, selecione Rede > Roteamento > Roteamento Estático.
2. Clique no ícone próximo ao roteamento estático IPv6.
3. Exclua todas as rotas estáticas IPv6.

1. A partir do painel de navegação, selecione Rede > Serviço > HTTP/HTTPS.
2. Altere o estado do serviço HTTP ou HTTPS de ON para OFF. Veja a Figura 75 abaixo para desabilitar o serviço HTTP ou HTTPS.